Соревнование в приватности. Тестируем браузеры, которые обещают не оставлять следов
Когда-то на «Горбушке» водилась особая порода мужичков с хитрым прищуром, у которых обыватели могли приобрести по сходной цене компакт-диск с адресно-телефонной базой жителей Москвы и остального Подмосковья вплоть до Камчатки. Сейчас торговлей персональными данными занимаются куда более крутые ребята: социальные сети конкурируют в этом бизнесе с поисковиками, от которых с небольшим отрывом отстают банки и прочие коммерческие структуры.
Для трекинга юзеров используются не только файлы cookies и пресловутое отслеживание по IP, но и так называемый отпечаток браузера, включающий данные о версии программы, разрядности ОС, языковых настройках, User Agent, экранном разрешении и иных технических параметрах системы. Еще есть технология Evercookie, реализованная с помощью специального приложения на JavaScript, и поведенческий анализ, когда специальные скрипты собирают информацию о действиях пользователя — времени просмотра веб-страниц, скорости прокрутки, нажатиях на ссылки и прочем. Отследить, а тем более заблокировать все эти функции не так-то просто.
В настройках любого современного браузера можно отыскать раздел «Безопасность», где собраны связанные с приватностью и конфиденциальностью параметры. Так, в Chrome присутствует режим «безопасного просмотра» веб-страниц со встроенной защитой от «потенциально опасных» сайтов, возможность включить собственную DNS-службу, а также настроить электронные ключи и сертификаты. В Opera есть собственный VPN, больше похожий на банальный прокси, и возможность запретить веб-узлам отслеживать исходящий трафик. Плюс та же стандартная «защита от вредоносных сайтов». Firefox имеет встроенную защиту от трекинга, позволяет настроить параметры хранения паролей, cookies и истории браузера.
Однако все эти технические ухищрения нивелируются возможностью установки плагинов, которые могут творить почти все, что угодно их разработчикам. Некоторые плагины способны отправлять личные данные на удаленный сервер, отслеживать действия пользователя, встраивать в просматриваемые веб-страницы рекламу. В общем, если элементарная защита от слежки встроена практически во все современные браузеры, то защита от юзера там напрочь отсутствует.
Считается, что безопасные, или, как их еще называют, защищенные, браузеры — это «чистая» программа без всяких свистелок и дополнений, заточенная под максимальную конфиденциальность. Они позволяют работать в интернете, оставляя минимум цифровых следов, блокируют передачу телеметрии и сбор данных. Они осторожно относятся к файлам cookies, истории просмотра и более бережно хранят данные форм, которые заполняет пользователь, либо не хранят их вовсе. Но главное — большинство из них не поддерживает установку сторонних непроверенных расширений, в числе которых к браузеру может «прилипнуть» что-нибудь нехорошее.
Когда речь заходит о защищенных программах для просмотра веб-страниц, первым делом вспоминаешь Tor Browser, хорошо известный всем и каждому. Именно поэтому его мы и не будем рассматривать в этой статье. Тем более что Tor Browser чаще используется именно как инструмент для серфинга по даркнету. Вместо него мы пристально взглянем на шесть альтернативных программ, которые их разработчики позиционируют как безопасные и защищенные браузеры для Windows.
Доверяй, но проверяй!
Чтобы узнать, стоит ли доверять подобным программам, я решил не изобретать сложных стендов и не заниматься постройкой специальной лаборатории. Для сравнения защищенных браузеров вполне достаточно виртуалки со свежеустановленной виндой и нескольких онлайновых тестов, специально созданных для проверки уровня безопасности подобных программ. Вот они.
- Qualys Browser Check — проверяет уязвимости в браузере и тестирует настройки работы с файлами cookies. По умолчанию для прохождения теста предлагается установить специальный плагин, но можно обойтись и без него, воспользовавшись ссылкой на сайте.
- Cloudflare Browsing Experience Security Check — тест от известной компании Cloudflare, проверяет используемые браузером DNS, сертификаты, настройки cookies и наличие известных уязвимостей.
- Privacy Analyzer — комплексная проверка браузера на возможность утечки данных. Проверяется отслеживание по IP, отпечатку браузера, тестируются настройки приватности.
- Panopticlick — тест на third-party tracking cookies и отслеживание по отпечатку браузера.
- Webkay — сервис, демонстрирующий всю информацию, которую твой браузер передает веб-сайтам в интернете.
Итак, с критериями оценки разобрались. Теперь перейдем к нашим подопытным браузерам — какие результаты они нам покажут с настройками по умолчанию? Сейчас узнаем!
Comodo Dragon
- Разработчик: Comodo Group
- Сайт: comodo.com/home/browsers-toolbars/browser.php
Comodo Dragon, пожалуй, самое раскрученное решение для безопасного серфинга в сети после Tor Browser. Dragon претендует на роль универсального решения для тех, кому неохота ждать по полчаса, пока запустится Tor.
INFO
Репутация Comodo однажды серьезно пострадала — когда в 2016 году компанию уличили в том, что ее продукты без спроса ставили на компьютеры VNC-сервер.
На самом деле чуваки из Comodo сделали целых два секьюрных браузера с одним и тем же набором функций, но на разных движках: Comodo Dragon на платформе Chromium и Ice Dragon на базе Firefox. Среди заявленных возможностей — встроенная защита от малвари, использование безопасных DNS, блокировка cookies и валидация доменов для борьбы с фишингом.
Я скачал сразу обе версии «Ящерки» и запустил их на виртуалке по очереди. Внешне Dragon выглядит как привычный Chrome и запускается примерно с той же скоростью — на моей виртуалке его загрузка заняла в среднем 4,5 секунды. От «Хрома» браузер унаследовал и любовь к оперативной памяти — с одним окном и одной открытой вкладкой Comodo Dragon с ходу запустил в системе пять процессов и отожрал 90 Мбайт.
Что ж, посмотрим, что скажут тесты.
- Qualys Browser Check распознал в Comodo Dragon браузер Chrome, причем устаревшей версии, после чего предложил скачать с сайта Google версию поновее.
- Cloudflare Browsing Experience Security Check определил, что Dragon не проверяет подлинность ответов DNS-серверов с помощью DNSSEC и не поддерживает шифрование имени сервера SNI при установке TLS-соединения, — теоретически это может поставить под угрозу конфиденциальность.
- Тест Privacy Analyzer показал, что Dragon успешно передал удаленному узлу мой IP-адрес, локацию, версию браузера, разрядность ОС и данные об экранном разрешении.
- Panopticlick продемонстрировал, что браузер имеет уникальный «отпечаток» и не посылает на сервер HTTP-флаг DNT (do not track), а это позволяет отслеживать пользователя. Все остальные тесты безопасности на этом сайте Comodo Dragon прошел успешно.
- Наконец, судя по страничке Webkay, помимо версии и разрядности Windows, IP-адреса и экранного разрешения, Dragon позволяет верно распознать уровень заряда батареи моего девайса и тип процессора. Просканировать локальную сеть в поисках доступных устройств браузер не дал.
Comodo Ice Dragon внешне мало чем отличается от своего «неледяного» собрата. Firefox и Firefox, ничего особенного. Загружается и работает он довольно шустро: от щелчка мышью на значке до запуска приложения прошло три секунды.
- Qualys Browser Check не обнаружил никаких недостатков, тест пройден со стопроцентным успехом.
- Cloudflare Browsing Experience Security Check показал в точности тот же результат, что и в предыдущем случае.
- По заключению Privacy Analyzer, браузер отдает наружу все те же данные, что и его родной брат, в том числе IP-адрес и версию ОС.
- Panopticlick сообщил, что программа не блокирует попытки рекламного трекинга, не посылает DNT и имеет уникальный «отпечаток».
- А вот Webkay преподнес сюрприз: оказалось, что браузер имеет уникальный User Agent
IceDracon 65.0.2
и не отправляет на сторону вообще никаких данных о железе, кроме разрядности процессора. Зато, помимо внешнего айпишника, Webkay радостно продемонстрировал мне IP сетевого интерфейса моей локалки. С помощью специальной кнопки на сайте я попытался просканировать доступные в локальной сети девайсы, но поиск результатов не принес.
Waterfox
- Разработчик: Alex Kontos
- Сайт: waterfox.net
Это еще один клон Firefox с упором на безопасность, имеющий версии не только для винды, но и для macOS и Linux, причем доступна только 64-разрядная версия. В разделе «О программе» официального сайта сказано, что браузер сделал в 2011 году шестнадцатилетний школьник Алекс Контос, который занимается обновлением и поддержкой своего детища и по сей день. Автор утверждает, что его приложение не собирает телеметрию и отправляет наружу только данные о версии браузера и ОС, чтобы вовремя получать обновления. Все остальные конфиденциальные, заверяет разработчик, в полной безопасности. Внешне программа представляет собой самый обычный Firefox — настолько обычный, что даже скучно. Работает и загружается с такой же скоростью, существенных различий с обычной «Лисицей» я не заметил.
Посмотрим, как оценят поделку школьника тесты.
- Qualys Browser Check — тест пройден успешно, ни одной проблемы не выявлено.
- Cloudflare Browsing Experience Security Check показал, что у Waterfox есть проблемы с проверкой DDNSEC и применением Encrypted SNI. Кроме того, браузер не поддерживает TLS 1.3.
- Наконец, Waterfox успешно провалил все тесты Privacy Analyzer, а по данным Panopticlick и Webkay — слил наружу мой IP-адрес, тип и разрядность процессора, а также параметры экранного разрешения, но все остальные данные благоразумно утаил.
Примечательно, что Waterfox распознается как Firefox 56.0, в то время как актуальная версия «Лисицы» на сегодняшний день 79.0. То есть клон отстает от оригинала примерно на вечность, и это может означать проблемы уже не с приватностью, а с безопасностью.
Iron
- Разработчик: SRWare
- Сайт: srware.net/iron
Iron — это не «ирония», а «утюг» «железо», что как бы намекает нам на брутальность и надежность данного браузера. «Железяка» собрана на основе Chromium, использует последние версии WebKit и V8, а также включает собственный компонент блокировки рекламы. Примечательно, что у сайта разработчика есть русская версия — правда, складывается ощущение, что переведена она на великий и могучий при помощи все того же Google Translate. По утверждениям создателей, Iron не отправляет в Google телеметрию, не отсылает автоматические баг-репорты и не обновляется в фоновом режиме, что позволяет экономить трафик. А еще он обладает «элегантным дизайным».
SRWare Iron похож на Chrome чуть менее, чем полностью. Программа запускается примерно за 3,5 секунды и работает с несколькими открытыми вкладками довольно-таки шустро: значительных тормозов я за ней не заметил. Мне даже показалось, что этот браузер работает побыстрее, чем Chromium в сборке Comodo.
- Qualys Browser Check пожаловался мне на устаревшую версию Google Chrome (83.0.4250) и сообщил, что она небезопасна.
- Тест Cloudflare продемонстрировал показатели, аналогичные браузерам Comodo, — включенная поддержка TLS 1.3, но претензии к DNSSEC и Encrypted SNI.
- Panopticlick ругнулся на стандартный набор проблем с приватностью (все тесты оказались провалены) и между делом заметил, что если в SRWare Iron и присутствует какой-то блокировщик рекламы, то он не работает.
- Privacy Analyzer и Webkay сообщили, что «Железяка» отдает наружу данные о версии браузера, версии и разрядности ОС, IP-адрес, все сведения о железе (включая модель видеокарты, экранное разрешение и состояние батареи), однако данные о локальной сети остались для Webkay тайной.
Brave
- Разработчик: Brave Software
- Сайт: brave.com
Создатели браузера Brave утверждают, что их продукт на базе Chromium, как никакой другой, предотвращает трекинг и возможные утечки данных. Одна из фишек Brave — возможность отправлять криптовалютные платежи веб-сайтам и создателям контента в виде Basic Attention Tokens — разработанной Brave Software криптовалютной платформы на базе Etherium.
В 2017 году, кода платформа была впервые запущена, Brave Software продала токенов на сумму более 35 миллионов долларов США, а новым пользователям платформы раздали в целях привлечения в общей сложности 300 тысяч токенов. Пользователи браузера Brave могут зарабатывать токены за просмотр рекламы или платить создателям контента — либо отправляя микротранзакции, либо используя встроенную функцию Brave, когда заранее установленная сумма вознаграждения распределяется автоматически между владельцами зарегистрированных в системе сайтов в зависимости от того, сколько времени юзер провел за просмотром контента.
Существуют версии браузера для Windows, macOS, Linux, а также Android и iOS. Мы рассмотрим только первую из них, интерфейс которой, как и следовало ожидать, косплеит Chrome.
- Qualys Browser Check показал, что текущая версия Chrome актуальна, обновления не требуется.
- Тест Cloudflare не продемонстрировал ничего нового — аналогичный результат был и у браузеров Comodo, и у Iron.
- А вот Panopticlick дал неожиданный результат: как оказалось, Brave успешно блокирует рекламу, автоматический трекинг, но при этом не отправляет DNT и обладает характерным «отпечатком», по которому его можно вычислить.
- Privacy Analyzer и Webkay удивили еще больше: оба сайта не показали мой IP-адрес и локацию, хотя сервисы вроде WhatIsMyIP его без проблем определили. Браузер передал данные о версии и разрядности ОС, железе (включая процессор, графический адаптер, экранное разрешение и состояние батареи). В качестве User Agent программа использует
Chrome 84.0.4147.125
.
В целом — неплохой результат. С учетом того что приложение работает достаточно быстро (хотя по ощущениям и медленнее Iron), к нему явно стоит присмотреться.
Epic
- Разработчик: Hidden Reflex
- Сайт: epicbrowser.com
Этот браузер разработан компанией, базирующейся в Бангалоре (Индия) с представительством в Вашингтоне. Тут мне нестерпимо хотелось пошутить про индусский код, но Epic, как и его конкуренты, основан на Chromium, поэтому код там гугловский. Разработчик программы Алок Бхардвадж (Alok Bhardwaj) утверждает, что Epic успешно блокирует трекинг, фингерпринтинг, назойливую рекламу, криптомайнинг и магию вуду. Помимо версии для Windows, на сайте можно скачать релиз для macOS, там же присутствуют ссылки на Google Play и App Store для скачивания мобильных версий.
Сразу после запуска приложения юзер видит грозное предупреждение о том, что некоторые функции браузера, такие как встроенный VPN, прокси и блокировщик рекламы, нужно установить отдельно в виде плагинов, доступных на специальной страничке Epic Extension Store. Чем в таком случае Epic отличается от обычного «Хрома», в котором тоже можно настроить прокси и VPN с помощью плагинов, для меня осталось загадкой. Что ж, посмотрим, что умеет этот браузер из коробки с настройками по умолчанию.
- Qualys Browser Check — проблем и замечаний нет.
- Cloudflare — результат, аналогичный Comodo и Iron.
- Panopticlick — браузер успешно блокирует рекламу и попытки трекинга, но не посылает DNT и имеет характерный «отпечаток».
- Privacy Analyzer — тест «подвис» на определении IP-адреса и геолокации, результата я так и не дождался.
- Webkay — сервис успешно определил мой IP и версию ОС, но не показал решительно никаких данных о железе, кроме разрядности процессора. Браузер определяется как
Chrome 84.0.4147.105
.
Глядя на название продукта, я предвкушал, что можно будет написать об «эпик фейл», но на удивление браузер зарекомендовал себя совсем неплохо. Блокировка рекламы, трекинга, а также минимум передаваемых наружу данных, и все это без дополнительных плагинов — довольно серьезная заявка на успех.
Dooble Web Browser
- Разработчик: Dooble Project Team
- Сайт: textbrowser.github.io/dooble/
Разработка этого браузера с открытым исходным кодом началась двенадцать лет назад. Интерфейс Dooble основан на Qt, а само приложение кросс-платформенное: есть версии для FreeBSD, Linux, macOS, OS/2 и Windows, причем в виде портативной версии для всех платформ. Дистрибутив можно скачать с GitHub в виде ZIP-архива, в котором находится исполняемый файл и все нужные библиотеки.
С настройками по умолчанию Dooble автоматически удаляет cookies, а хранимые в программе данные шифруются (за исключением информации о пользовательских настройках). Браузер применяет сессионную модель с использованием временных ключей, при этом парольную фразу можно изменить без потери данных. Мастер-пароль нужно создать в настройках при первом запуске Dooble, иначе при завершении работы все сохраненные в браузере данные будут стерты. Эти функции позволяют условно отнести Dooble к категории безопасных браузеров.
На моей виртуалке с Windows 10 Dooble наотрез отказался запускаться, ругаясь на отсутствие какой-то библиотеки, зато на хостовой машине с Windows 7 он неожиданно заработал. Внешнее оформление программы можно охарактеризовать фразой «привет из девяностых» — у меня он даже выдавил ностальгическую слезу.
Сравнительные тесты дали следующие результаты.
- Qualys Browser Check — обозвал Dooble небезопасной версией Google Chrome — видимо, из-за используемого браузером User Agent.
- Cloudflare — результат, аналогичный Comodo, Iron, Epic и Brave.
- Panopticlick — полный провал теста по всем пунктам.
- Privacy Analyzer и Webkay — браузер передал IP-адрес, данные об ОС и железе, геолокацию, экранное разрешение. Внешним сервисам программа представляется как
Chrome 84.0.4147.163
.
Пожалуй, Dooble — самый быстрый из всех браузеров, опробованных мной в этом эксперименте. С учетом того что он представлен в виде портативной версии, приложение может быть очень полезно для систем, в которых затруднена установка программ. Также, вероятно, браузер придется по вкусу пользователям BSD и Linux. Работоспособность приложения в Windows 10 вызывает определенные сомнения.
Выводы
Итоги эксперимента получились неоднозначные. Вопреки ожиданиям, лучшие результаты показала не продукция прославленной компании Comodo, а вполне скромные Brave и Epic. Однако неплох и Comodo Ice Dragon — он отправляет наружу меньше данных об устройстве, чем его собрат. Comodo Dragon я бы поставил на четвертое место. Владельцам устройств со слабым железом и старыми версиями ОС может прийтись по вкусу Dooble, который отличается неплохим быстродействием. А вот Waterfox и Iron утюгом нырнули на самое дно нашего скромного рейтинга — они хуже конкурентов справляются с рекламой и блокировкой трекинга.
Очевидно, что ни одна из перечисленных в сегодняшней статье программ не может обеспечить полную анонимность и безопасность в интернете. Для настоящей конфиденциальности нужно использовать VPN (например, наш VPN с пробным периодом в десять дней) отключать в настройках браузера обработку скриптов, использовать шифрованные контейнеры для хранения данных форм и паролей. Кроме того, существует широкий ассортимент плагинов, ориентированных на повышение уровня безопасности при работе в сети.
Xaker, Валентин Холмогоров