Combinarea căutării și a barei de adrese înseamnă mai multe date pentru giganții tehnologici

Microsoft Edge și Yandex sunt „mult mai îngrijorătoare” în comparație cu Brave, Chrome, Firefox și Safari, potrivit unei lucrări privind confidențialitatea browserului (PDF) publicată săptămâna aceasta.

confidențialitatea

Douglas J Leith, profesor de informatică la Trinity College Dublin, a investigat activitatea de rețea a șase browsere - Google Chrome, Mozilla Firefox, Apple Safari, Brave, Microsoft Edge și Yandex - folosind un proxy pentru a capta trafic criptat.

Folosind o instalare implicită, el a inspectat datele trimise la prima pornire a browserului, precum și datele transferate atunci când navigați la o pagină web, lipind o adresă URL în bara de adrese și tastând adresa URL - aceasta din urmă fiind interesantă deoarece poate utiliza o caracteristică de completare automată bazată pe cloud. Toate testele au fost efectuate pe un Mac, chiar și pentru Edge. În cele din urmă, el a verificat activitatea când browserele au rămas inactiv timp de 24 de ore.

În lucrare, Leith a spus: „Descoperim că browserele se împart în trei grupuri distincte din această perspectivă de confidențialitate. În primul grup (cel mai privat) se află Brave, în al doilea Chrome, Firefox și Safari și în al treilea (cel mai puțin privat) grup minciuna Edge și Yandex. "

Identitatea purtată

Edge este cu adevărat mai rău decât Chrome - acesta din urmă fiind de la unul dintre cei mai mari colecționari de date din afacere? Potrivit lui Leith, problema este legată de identificatorii pe care browserele îi trimit furnizorilor pentru a permite ca diferite căutări și sesiuni să fie legate între ele.

„Edge și Yandex folosesc ambii identificatori hardware”, a spus el. "Acest lucru este legat de hardware-ul fizic al dispozitivului și nu poate fi schimbat cu ușurință. În timp ce Chrome și Firefox utilizează identificatori care sunt în esență numere aleatorii generate la prima pornire a browserului." Identificatorii Chrome și Firefox persistă între sesiuni, dar sunt resetați dacă faceți o nouă instalare. Leith a explicat că, pentru a asigura o nouă instalare adevărată, a șters datele de configurare rămase în profilul utilizatorului.

I-am sugerat lui Leith că majoritatea utilizatorilor, dacă își reinstalează vreodată browserele, nu se vor deranja cu ștergerea datelor profilului utilizatorului, caz în care diferența dintre identificatori se elimină. „Absolut - dacă vă lăsați profilul în jur, atunci unii identificatori sunt legați de browser”, ne-a spus el.

Există, de asemenea, problema a ceea ce se întâmplă dacă utilizatorii se conectează la serviciile Google, Microsoft, Apple sau Firefox în timp ce utilizează browserul. „Dacă vă conectați la serviciile Google sau Apple prin browser, desigur, totul este integrat împreună”, a spus el.

Dar accentul cercetării lui Leith este asupra a ceea ce se întâmplă cu o instalare implicită în care alegeți să nu vă conectați. Cât de privat este istoricul dvs. de navigare?

Leith a început prin lipirea (nu tastarea) unei adrese URL în bara de sus a browserului. În cazul Chrome: „Aceasta generează o solicitare către www.google.com/complete/search cu detaliile URL (adică http://leith.ie/nothingtosee.html) transmise ca parametru și, de asemenea, două cantități asemănătoare identificatorului (psi și sugkey). " În mod similar, Edge a trimis adresa URL către API-ul de completare automată Bing completat cu cookie-ul de identificare. Yandex a transmis, de asemenea, adresa URL către propriile sale servere înainte de navigare. Firefox, Brave și Safari nu au colectat date de la o adresă URL lipită.

Ce se întâmplă dacă utilizatorul introduce în browser? În acest sens, cheia este URL-ul sau funcția de completare automată a căutării. Browserele obișnuiau să facă distincția între URL-uri și căutări, dar această distincție a fost în mare parte pierdută în favoarea unei singure casete polivalente, așa cum o numește Google, care funcționează ca o casetă de căutare, cu excepția cazului în care introduceți o adresă URL completă și formată corespunzător. Majoritatea utilizatorilor nu se deranjează, ceea ce înseamnă că navigarea pe web este în mare parte determinată de căutare, plus câteva site-uri marcate.

"Safari are cel mai agresiv comportament de completare automată, generând un total de 32 de solicitări atât către Google, cât și către Apple", a raportat Leith. „Solicitările către Apple includ identificatori care persistă în restartarea browserului și astfel pot fi folosiți pentru a lega cererile împreună și a reconstrui astfel istoricul de navigare.

„Chrome este următorul cel mai agresiv, generând 19 cereri către un server Google care, din nou, includ un identificator care persistă în restartarea browserului.

„Firefox este mult mai privat, nu trimite identificatori cu solicitări și termină solicitările după primul cuvânt, generând astfel un total de 4 solicitări. Mai bine, Brave dezactivează completarea automată în mod implicit și nu trimite deloc cereri ca tipuri de utilizatori în bara de sus . "

Edge, pe de altă parte, „trimite text la www.bing.com pe măsură ce este tastat. Se trimite o cerere pentru aproape fiecare literă tastată, rezultând un total de 25 de solicitări. Fiecare solicitare conține o valoare cvid care este persistentă între cereri. deși se schimbă în restartarea browserului. "

Punctul cheie aici este că, în unele cazuri, furnizorul și/sau furnizorul de căutare obțin toate datele de care au nevoie pentru a construi istoricul de navigare al unui utilizator. De ce contează asta? „Istoricul navigării utilizatorului este văzut în general ca fiind date sensibile”, ne-a spus Leith. "Este vorba de interesele unei persoane, este foarte precis. Împărtășirea cu o terță parte fără cunoștințe și consimțământ clar pare o problemă de confidențialitate".

Utilizatorii sunt de acord când acceptă o politică de confidențialitate? Leith a spus că, deși utilizatorii trebuie adesea să fie de acord cu termenii și condițiile atunci când descarcă sau instalează, sunt „cele 20 de pagini obișnuite de lucruri detaliate pe care nimeni nu le privește” - există o întrebare dacă acesta este consimțământul informat. "Este prezentat într-un mod suficient de clar?" Întrebă Leith. „La pornirea acestor browsere, nu există consimțământ în acel moment.” Ar dori ca utilizatorilor să li se ofere o renunțare împreună cu informații clare despre implicațiile căutării și completării automate în browser.

Studiul lui Leith este restrâns, deși demonstrează diferențe semnificative între browsere. Dacă Edge este mai rău decât Chrome este deschis dezbaterii, dar Edge, Yandex, Chrome și Safari par să conducă câmpul în ceea ce privește apelarea acasă cu datele de navigare ale unui utilizator. FireFox-ul Mozilla pare mai bun și Brave mai bun. Alte întrebări relevante sunt modul în care datele din istoricul căutărilor utilizatorului sunt utilizate de către companiile care le colectează și care este impactul atunci când utilizatorii se conectează, pentru a beneficia de marcajele sincronizate și, de fapt, istoricul browserului pe diferite dispozitive.

Leith are dreptate să sublinieze semnificația funcției de căutare/completare automată, care este acum standard în majoritatea browserelor web, și potențialul său de a ne oferi istoricul de navigare chiar și atunci când nu sunteți conectat la niciun serviciu.

Mozilla ne-a făcut următorul comentariu: „Mozilla ne documentează public practicile de date și avem un proces public de revizuire a datelor. Istoricul navigării este trimis către Mozilla numai dacă un utilizator activează serviciul nostru de sincronizare, al cărui scop este de a partaja date pe dispozitivele unui utilizator. Spre deosebire de alte browsere, datele de sincronizare sunt criptate end-to-end, astfel încât Mozilla nu le poate accesa.

„Firefox colectează unele date tehnice despre modul în care utilizatorii interacționează cu produsul nostru, dar care nu include istoricul de navigare al utilizatorului. Aceste date sunt transmise împreună cu un identificator unic generat aleatoriu. Adresele IP sunt păstrate pentru o perioadă scurtă de timp pentru securitate și detectarea fraudelor. și apoi șterse. Acestea sunt eliminate din datele de telemetrie și nu sunt utilizate pentru a corela activitatea utilizatorilor între sesiunile de navigare. " ®