Точно так же интересует вопрос — все ли составляющие браузера открыты, или же ситуация как с VS Code, когда открыта только часть?
Есть, например, полностью закрытый Widevine. Но он скачивается-устанавливается только с явного разрешения пользователя, при первой попытке им что-то декодировать.
Есть некоторые компоненты на brave://components — например, базы Сейфбраузинга используются гугловские, это по сути список хэшей. Но их «оригинал» формально нельзя назвать «открытым».
Наши компоненты (например, списки блокировщиков рекламы) — открытые, и многие серверные компоненты тоже открытые (сервис обновлений, сервер синхронизации). Знаем, что их очень нравится использовать другим форкам Хромиума
Речь идёт о том, чтобы извлечь ключи из уже собранного браузера, и поправив систему сборки так, чтобы она взяла эти ключи.
100% идентичный билд точно не получится, потому что этого не умеет и Хромиум, например, из-за вкомпиливания в код каких-нибудь таймстемпов или номеров билда. В остальном, на вскидку в голову ничего не приходит, но больше чем уверен что есть другие препятствия. Иначе мы бы это сделали уже — популярный запрос и большой выигрыш для бренда.
Отсутствует автодополнение через поисковые движки. Есть автодополнение сайтов из закладок, например, или из захардкоженного Alexa top 100
Без ключей не смогут работать облачные АПИ — тот же Сейфбраузинг, или скачивание списков блокировщика.
Я правильно понимаю, что имея исходники и уже собранный браузер с известными ключами, собрать идентичный будет невозможно, даже наложив патчи на систему сборки?
Разве что нехватка времени! Тема весьма интересная — в частности, в исходниках Хромиума *все* сетевые запросы специальном образом аннотированы, и там их сотни штук. Например, при использовании Google Wallet, Хром весьма бесцеремонно снимает фингерпринт машины и отправляет его гуглу.
Пример телеметрии в хромоподобном браузере — chrome://histograms или chrome://ukm.
В Брейве штатная телеметрия полностью выкошена, вместо неё есть более лучшая своя, которая не позволяет идентифицировать браузер.
Это называется автодополнением поисковых запросов и настраивается. Это не является напрямую шпионскими функциями, хотя может отрицательно сказаться на приватности.
Именно не является, поэтому в статье этого и не сказано. Также совершенно ясно, что если по ошибке вставить из буфера пароль в омнибокс, то функция автодополнения в блестящем стиле отправит его в облако.
И ещё, пользуясь возможностью, задам вопрос — что у Brave с воспроизводимыми сборками?
Всё сложно. Это конечно есть на радарах, но часть проблем выглядит труднорешаемой. Например, подстановка ключей/токенов в бинарь, которую делает наша CI.
Да, в целом можно было бы и усилить накал разоблачений. Здесь ориентиром была публикация 2020 года, упомянутая в тексте — там в целом такая же методика.
Если учесть больше нюансов, то число коннектов потенциально только увеличится. А ведь те коннекты, что есть, уже довольно показательны. Если с Эджем в принципе всё понятно, то сетевая активность Фаерфокса несколько удивляет, особенно деталь с telemetryEnabled.
Тестирование проводилось на компьютере, где была операционная система Microsoft :) Поэтому Edge может сам себя залогинить в сервисы Microsoft. Чистая же установка Chrome никак не может себя залогинить в гугл, скольким бы учетками пользователь не владел, для этого у браузера нет никаких оснований.
Нам сперва наш собственный узел предстоит развернуть, для чего решить массу технических проблем и снять вопросы об обеспечении приватности. Дальше уже будем рассматривать возможности децентрализации.
От DDG это отличается в любом случае, т.к. DDG это по большому счёту вайтлейбл Бинга.
We also of course have more traditional links in the search results, which we also source from multiple partners, though most commonly from Bing (and none from Google).
Результаты похожие, но не идентичные, разница между исследованиями один год.
Есть, например, полностью закрытый Widevine. Но он скачивается-устанавливается только с явного разрешения пользователя, при первой попытке им что-то декодировать.
Есть некоторые компоненты на brave://components — например, базы Сейфбраузинга используются гугловские, это по сути список хэшей. Но их «оригинал» формально нельзя назвать «открытым».
Наши компоненты (например, списки блокировщиков рекламы) — открытые, и многие серверные компоненты тоже открытые (сервис обновлений, сервер синхронизации). Знаем, что их очень нравится использовать другим форкам Хромиума
100% идентичный билд точно не получится, потому что этого не умеет и Хромиум, например, из-за вкомпиливания в код каких-нибудь таймстемпов или номеров билда. В остальном, на вскидку в голову ничего не приходит, но больше чем уверен что есть другие препятствия. Иначе мы бы это сделали уже — популярный запрос и большой выигрыш для бренда.
Такая телеметрия позволяет полностью идентифицировать браузер, т.е. приватной не является
Без ключей не смогут работать облачные АПИ — тот же Сейфбраузинг, или скачивание списков блокировщика.
Которые патчи?
В Брейве штатная телеметрия полностью выкошена, вместо неё есть более лучшая своя, которая не позволяет идентифицировать браузер.
Именно не является, поэтому в статье этого и не сказано. Также совершенно ясно, что если по ошибке вставить из буфера пароль в омнибокс, то функция автодополнения в блестящем стиле отправит его в облако.
Всё сложно. Это конечно есть на радарах, но часть проблем выглядит труднорешаемой. Например, подстановка ключей/токенов в бинарь, которую делает наша CI.
Вы полностью правы — в статье именно это и описывается. Разве что объём не позволяет вместить больше подробностей, они есть в оригинальной статье.
Только факты
Если учесть больше нюансов, то число коннектов потенциально только увеличится. А ведь те коннекты, что есть, уже довольно показательны. Если с Эджем в принципе всё понятно, то сетевая активность Фаерфокса несколько удивляет, особенно деталь с telemetryEnabled.
От DDG это отличается в любом случае, т.к. DDG это по большому счёту вайтлейбл Бинга.
и реклама у DDG, соответствено, от Майкрософта help.duckduckgo.com/duckduckgo-help-pages/company/ads-by-microsoft-on-duckduckgo-private-search