С самых первых релизов Brave блокировал все сторонние хранилища (куки, localStorage, indexedDB). Такая блокировка защищает наших пользователей от самых распространённых форм трекинга, но может ломать сайты. Сегодня мы поговорим об «эфемерных хранилищах», нашей стратегии работы со сторонними хранилищами в Brave, которая улучшает веб-совместимость, сохраняя при этом этот же уровень защиты конфиденциальности пользовательских данных.

Мы добавили секционирование сетевого состояния в браузер и тем самым ещё сильнее улучшили его защитные свойства. Сетевое состояние - это набор разного рода кэшей (фавиконок, шрифтов, id сессий HTTPS), каждый из которых исторически существуют в одном экземпляре на весь браузер, и таким образом сайты могут использовать эти общие хранилища для реализации "суперкук" в том или ином виде. Настал час выдать каждому сайту свой кэш для улучшения изоляции страниц друг от друга — подробности в статье.

Недавно Google анонсировал Topics API, новейший вариант более раннего FLoC API, о котором мы уже писали. В гугле утверждают, что новый API разобрался с серьёзными проблемами конфиденциальности FLoC, но это не так. Topics API исправляет лишь самые незначительные проблемы конфиденциальности во FLoC и никак не меняет его сути. Проблема в том, что Google и не намерен прекращать делиться информацией об интересах и поведении людей с трекерами, рекламодателями и подобным не уважающим конфиденциальность сбродом. Мы же утверждаем: у них нет никакого права узнавать о вас подобную конфиденциальную информацию.

Мы продолжаем нашу непримиримую борьбу со злостными нарушителями конфиденциальности пользователей. Наш браузер и на ПК, и на Андроиде теперь включает в себя следующие меры защиты:

Мы обнаружили, описали и сделали POC для нового типа уязвимости, в той или иной форме присутствующего во всех браузерах, включая TOR браузер. Такой тип атак использует пулы‎ ограниченных общих ресурсов для проведения side-channel атак. Трекеры могут использовать такие каналы для межсайтовой слежки за пользователями и обхода других мер защиты приватности в браузерах. 

Многим совершенно безосновательно кажется, что использование правильного блокировщика рекламы раз и навсегда предотвращает попадание следящих и рекламных скриптов в защищаемый браузер. На самом же деле, в списках блокировщиков содержатся тысячи исключений — записей, допускающих некоторые скрипты на некоторые сайты в целях совместимости. Особенно популярны в них аналитические системы от крупных корпораций Добра.

Мы сделали механизм, который позволит всем совместимым блокировщикам избавиться от этого постыдного компромисса и начинаем его внедрять в наш браузер Brave. Подробности в статье.

На Хабре есть множество (раз, два, три, четыре) статей про идентификацию и слежку за пользователями при помощи снятия браузерных «отпечатков», но почти ничего про современные методы превозмогания этих коварных атак на нашу приватность в сети. Восполним этот пробел путём описания способа защиты, который реализован в единственном браузере на рынке.

Мы запустили Brave Wallet, криптокошелёк, встроенный в десктопную версию нашего браузера, который позволяет пользователям Brave хранить, управлять, накапливать и обменивать свой криптопортфель. В отличие от других криптокошельков, наш не требует установки расширений: он встроен в браузер, что увеличивает безопасность и уменьшает нагрузку на железо. Пользователи могут совершить транзакции практически с любой криптой, не теряя в безопасности и производительности, а также подключать другие кошельки и приложения веб 3.0. Вскоре кошелёк Brave станет доступен и в наших мобильных приложениях.

Три человека из четырёх считают рекламу, защищающую конфиденциальность, и возможность контролировать количество рекламы, которую они видят в день, более привлекательными. В деньгах тоже есть существенный прирост. Простое ли это совпадение — расскажем в статье.

Переадресующий трекинг (он же bounce tracking) — это очередная нелепая уловка трекеров, с помощью которой они пытаются следить за пользователями по всей сети и небесплатно нарушать их священное право на конфиденциальность. Разберём наш механизм блокировки этого неприглядного явления.

Мы недавно опубликовали исследование «Конфиденциальность и вопросы безопасности в Веб 3.0» на сайте arXiv, и хотим вкратце описать наши выводы и рассказать, что они значат для пользователей Brave.

Децентрализованные финансы (DeFi) напоминают финансовый Дикий Запад: новые сайты появляются и исчезают каждый день, люди зарабатывают и теряют огромные деньги, а гарантии безопасности и вообще какой бы то ни было осмысленный контроль за происходящим отсутствуют. Какую роль безопасность и конфиденциальность играют во всём этом? Разберёмся.

Начиная с версии 1.31.x, Brave включает поддержку кастомных списков фильтрации, что позволит пользователям более тщательно элеминировать следящие сетевые запросы, рекламу и назойливый контент. Теперь пользователи Брейв могут подписаться на любой список по своему усмотрению, включая списки из этого отличного набора, поддерживаемого различными сообществами, разработчиками и воинами конфиденциальности. Наша цель — лучшие в своём классе инструменты фильтрации контента, сохраняющие контроль над веб-сёрфингом в руках пользователей.

Чтобы оставаться на шаг впереди от следящих скриптов, мы регулярно выпускаем новые функции и улучшения, связанные с приватностью. Расскажем о четырёх недавних изменениях в конфиденциальности и web-совместимости: время жизни пермиссий, дебаунсер и кое-что ещё.

Запускаем публичную бету нашего независимого от адтех-гигантов поиска https://search.brave.com/, который предоставляет не имеющую аналогов анонимность.

Одна из главных целей Brave — повышение накала приватности в интернете. Мы не только строим механизмы защиты приватности в нашем браузере и других продуктах, но и двигаем вперёд открытые стандарты консорциума W3C, по которым работает весь Интернет. Рассказываем о стандарте конфиденциальности Global Privacy Control (GPC) и как он реализован в Brave.

В декабре 2020 года мы запустили в браузере Brave новый сервис — новостную ленту Brave Today (aka Brave News). Она собирает информацию из проверенных нами источников и распределяет ее по 15 категориям, среди которых каждый пользователь сможет найти что-то интересное для себя. Чтобы просмотреть новости в Brave Today, нужно открыть новую вкладку в браузере Brave и проскроллить страницу вниз. В статье мы расскажем о том, как мы выбираем и ранжируем контент.

В Brave приватность — не фича, а требование, вокруг которого построен проект. Наш браузер это демонстрирует в полной мере: мы блокируем трекеры, не даем отслеживать цифровые отпечатки и предлагаем пользователям наш собственный, privacy-first рекламный сервиc. 

В сегодняшнем выпуске рассмотрим метод сокрытия IP-адресов пользователей от нас и партнёрской CDN, а также прочие вопросы приватности браузерной рекомендательной ленты Brave Today.

Мы в Brave против FLoC, как и против любой вредоносной функциональности. Brave работает на движке Chromium, так что мы оторвали FLoC ещё до того, как это стало модным, а недавно физически отключили код, вычисляющий идентификаторы FLoC (этот пулл-реквест даже попал на первое место в новостях HackerNews). На наших вебсайтах FLoC также не будет работать — мы не хотим, чтобы ин

формация о пользователях, заинтересовавшихся Brave, куда-то утекала через Chrome. Таким образом, эта фича пополнила наш длинный список отрубленных от Хромиума щупалец.

Подробности и детали о вреде FLoC — в статье.

Установка нового браузера не заканчивается его запуском. При первом старте браузеры проходят фазу донастройки — что-то докачивают, конфигурируют и, конечно, рапортуют. Если посмотреть на соответствующие сетевые запросы, можно многое узнать о браузере — в частности, какой информацией о пользователе и устройстве он поделится с неустановленной группой лиц.

В этой статье мы оценивали поведение пяти браузеров: Brave, Chrome, Firefox, Edge и Opera. Все исследования проводились на десктопе под управлением Windows 10 (версия 20H2, билд 19042.804) с подтвержденной учёткой Microsoft.

С первого релиза Brave ведёт наиболее агрессивную из всех браузеров политику в отношении сторонних кук и других данных — мы по умолчанию делаем недоступными сторонние хранилища (и хранилище кук, и localStorage / indexedDB). Однако заход с такого козыря не только мощно повышает уровень пользовательской приватности, но и ломает массу сайтов. Рассказываем наш рецепт хранения, сортировки и выдачи кук.