Хакер - Хватит за мной следить! Тестируем мобильные браузеры на Android с защитой от отслеживания
nopaywall
Содержание статьи
- Методы отслеживания (трекинга) пользователей
- Cookie
- Evercookie
- Отпечаток браузера
- Отслеживание по IP
- Поведенческий анализ
- Как браузеры борются с отслеживанием
- Тестовый стенд
- Brave
- Iron Browser
- Firefox Focus
- Yo Browser
- InBrowser
- Ghostery
- Cliqz
- Яндекс.Браузер с расширением Disconnect
- Про скорость работы
- Выводы: что выбрать?
Представь себе картину: май, ты приходишь в супермаркет и покупаешь грабли. Через неделю снова заходишь, и навстречу выбегает орава продавцов-консультантов, наперебой предлагая купить различные виды граблей. Наиболее продвинутые из них пытаются втюхать тебе тяпки, а некоторые даже лопаты. И никакие твои объяснения, что весь инвентарь у тебя остался с прошлого сезона и на самом деле ты зашел купить газонокосилку, не работают.
Ты кое-как отбиваешься от консультантов, прокладывая себе дорогу с помощью лопаты, которую они таки сумели тебе всучить, и уходишь. Но по пути домой замечаешь на заборе рекламный плакат, который сообщает, что все владельцы грабель, купленных на прошлой неделе в три часа дня, и лопат, купленных сегодня в 5:40, получают скидку на оптовую партию семян редиса, продажей которого занимается компания из соседнего города.
Именно так работает таргетированная реклама и трекинг пользователей на веб-сайтах. Ты заходишь на сайт, он присваивает тебе идентификатор и начинает отслеживать твои действия. Если эта система действует только в рамках одного веб-сайта — ничего страшного. Но существует масса контор (в основном, но не только рекламных сетей), которые могут проследить твои перемещения по многим сайтам и составить целую карту твоих сетевых похождений и интересов.
Кроме конфиденциальности, также страдает и скорость. Каждый трекинг-скрипт, размещенный на сайте, замедляет загрузку веб-страницы, а когда их много — такое замедление становится заметным даже невооруженным глазом. Некоторое время назад разработчики Mozilla протестировали скорость загрузки сайтов с включенным режимом защиты и без него и выяснили, что среднее время загрузки страницы в режиме защиты от трекинга сократилось на 44%. На мобильных устройствах блокировка трекинга дает и другой плюс: меньшее количество получаемых данных.
Методы отслеживания (трекинга) пользователей
В этой статье мы рассмотрим, как бороться с трекингом, но для начала разберемся, как он работает. Трекинг — это отслеживание пользователя с помощью различных техник идентификации браузера. Существует как минимум пять техник: Cookie, Evercookie, fingerprinting, IP, поведенческий анализ.
Cookie
Самый древний и самый интеллигентный способ отслеживания. Печеньки как раз и были разработаны для идентификации пользователя. Принцип работы очень прост: пользователь открывает сайт, тот запрашивает информацию из cookie, если информации нет, сайт решает, что пользователь на сайте впервые, генерирует уникальный идентификатор и записывает его (с некоторой дополнительной информацией о пользователе) в cookie.
Теперь (в теории) при следующих визитах сайт сможет распознать пользователя по уникальному идентификатору, который был записан в cookie-файлы на его компьютере. Понятное дело, что после очистки всех cookie-файлов юзер становится анонимным абсолютно для всех сайтов. Однако, кроме HTTP Cookie, также существуют Flash Cookie и Silverlight Cookie. И очищать их нужно отдельно.
Evercookie
Данный вид трекинга можно смело именовать «проектом деанонимизации интернета». Он сохраняет идентификатор пользователя везде, где это возможно. Используются как стандартные хранилища: HTTP, Flash, Silverlight Cookie, так и различные трюки вроде PNG Cookies (сервер отдает браузеру индивидуальную картинку с записанным в нее идентификатором, она попадает в кеш браузера, и при последующем визите пользователя сайт вставляет картинку в canvas и считывает записанную в нее информацию), а также хранилища HTML5 (Session Storage, Local Storage, Global Storage, Database Storage через SQLite и так далее), журнал посещенных веб-страниц (только для старых браузеров), ETag header, java persistence API. Все, что возможно использовать, используется.
Удалить Evercookie очень сложно. Однако есть у него один недостаток — так же как и в случае с кукисами, данные сохраняются на жесткий диск (или NAND-память телефона). А это значит, что обычный режим инкогнито неуязвим перед Evercookie.
Отпечаток браузера
В этом случае пользователя распознают, считывая данные о браузере, его настройках и устройстве, с которого юзер заходит на сайт. Много ли этих данных? Да, очень много. Самые простые: user agent (название, версия и разрядность браузера и ОС, тип устройства, на котором установлен браузер, поддерживаемые браузером функции и прочее), язык браузера, часовой пояс, разрешение экрана, глубина цвета, поддержка технологий HTML5 (привет, любители копаться в скрытых настройках браузера), наличие doNotTrack, cpuClass, platform, установленные плагины и информация о них, шрифты, доступные в системе.
Также используются и различные хитрые техники: Canvas Fingerprint, WebGL Fingerprint, WebRTC Fingerprinting. По утверждению создателей скриптов, вероятность распознавания уже сейчас превышает 90%. А в некоторых случаях составляет 99,(9)% (не так уж и много людей любят ставить Canary-версию Google Chrome и копаться в настройках chrome://flags для активации новых фишек HTML5). Недостаток технологии: на практике распознавание не может быть стопроцентным, потому что основано на статистических данных и вероятность ошибки будет всегда.
Отслеживание по IP
Используя твой IP-адрес, можно узнать местоположение (часто с ошибкой) и имя провайдера. Однако из-за периодической смены IP как в проводных, так и в беспроводных сетях, этот метод крайне ненадежный и на практике используется только для приблизительного определения местоположения.
Поведенческий анализ
Идентификация на основе индивидуальных особенностей поведения и вкусов пользователя: скорости движения мыши, любимых фильтров поиска, предпочитаемых товаров, скорости просмотра картинок, частоты кликов и так далее. Недостатки очевидны: для отслеживания действий нужно использовать тяжеловесные скрипты, которые будут не только нагружать канал, но и тормозить компьютеры. Точность распознавания слишком плавающая и слишком сильно зависит от различных факторов.
Как браузеры борются с отслеживанием
Как видишь, есть только два надежных метода идентифицировать пользователя: Cookie и Evercookie. Чтобы защититься от них, достаточно ходить на все сайты в режиме инкогнито, который есть практически в любом современном браузере. Но тогда ты столкнешься с другой проблемой: кроме отслеживания, печеньки применяются и для многих других полезных задач. Например, для хранения токена авторизации, который позволяет не вводить свои логин и пароль при каждом входе на сайт. На трафике и скорости загрузки страниц с помощью инкогнито тоже сэкономить не получится.
Браузеры с защитой от отслеживания работают по-другому: они используют черные списки трекинг-скриптов (вроде таких) и просто блокируют их исполнение.
В большинстве браузеров для анонимного серфинга (Firefox Focus, Yo Browser, InBrowser, Ghostery, Cliqz и в некоторых обычных браузерах) также есть возможность автоматической очистки приватных данных при выходе. Для смартфона такой очистки вполне хватит, чтобы справится с Evercookie.
С отпечатком браузера дела обстоят сложнее, потому что большинство сведений браузер передает не от желания рассказать о себе побольше, а для того, чтобы веб-страница отображалась правильно. Как вариант защиты — браузер может отправлять сведения о себе, которые будут похожи на максимальное количество других браузеров.
Тестовый стенд
Для теста браузера был использован смартфон Samsung Galaxy S7 и следующие страницы:
Brave
«Brave выполняет миссию по исправлению сети, предоставляя пользователям более безопасный, быстрый и удобный опыт использования с помощью новой привлекательной экосистемы вознаграждения. Brave — это больше чем браузер, это новый способ мышления о том, как работает интернет».
После таких громких высказываний ждешь чего-то особенного, однако спустя пару минут после установки браузера понимаешь, что тут не так. Браузер представляет собой Chromium с функциями блокировки рекламы и предотвращения отслеживания с возможностью включать/отключать блокировку для отдельно взятого сайта.
Основное отличие от Chrome — нет новостей на главной странице и режима экономии трафика.
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 108 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 130 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов): 372 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): 29
Главная страница браузера и настройка блокировки трекеров |
Iron Browser
Браузер, разрабатываемый немецкой компанией SRWare на основе исходного кода проекта Chromium. Появился он в противовес браузеру Google Chrome, который отслеживает действия пользователя. По заверению создателей, SRWare Iron не делает ничего подобного. Также Iron использует последние версии WebKit и V8, в то время как Google Chrome базируется на стабильных версиях.
Похож на Chrome как две капли воды. В отличие от Brave, осталась интеграция с Google, экономия трафика и лента новостей (рекомендуемые статьи) на главном экране. Производителем заявлена защита от отслеживания, только вот настроить ее нельзя.
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 98,71 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 152 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов): 440 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): неизвестно
Ну чем не Chrome? |
Firefox Focus
Это очень простой браузер без лишних функций. О приватности браузера напоминает кнопочка корзины, которая отображается на любой странице при прокрутке вверх. После нажатия на кнопку корзины вся история браузера и сохраненные данные очищаются. Также кнопка очищения истории есть в шторке с уведомлениями.
Браузер умеет блокировать трекеры рекламы и аналитики, социальные трекеры и другие. Есть режим «Невидимка» — функция блокировки скриншотов, которая закрывает доступ к содержимому окна браузера. Из-за этого даже анимация выключения экрана не работает. Зато невозможно перехватить содержимое, отображаемое на дисплее.
В отличие от конкурентов, Firefox Focus не скрывает свои черные списки, через которые он блокирует трекеры. Подробная информация.
- Страница в Google Play
- Движок: Blink (в просторах интернета есть версия на движке Gecko)
- Потребление ПЗУ (без учета данных приложения): 6,96 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 44,1 Мбайт
- Потребление ОЗУ (открыт один тестовый сайт): 65 Мбайт (поддержка вкладок отсутствует, была открыта наша статья про мобильный mesh)
- Количество заблокированных трекеров (для пяти тестовых сайтов): 43
Минимализм во всей красе |
Yo Browser
В описании на Play Market голимая реклама и ничего конкретного, а официальный сайт находится в разработке. Вполне можно было пройти мимо, но заявление «Yo Browser обеспечивает не только легкое пользование интернетом, но и вашу конфиденциальность и безопасность» таки заставило нас включить этот браузер в тест.
В браузере есть интересная функция быстрого открытия режима инкогнито: после нажатия ссылки всплывает предложение выбрать, в каком режиме ее открыть, обычном или инкогнито. При выходе предлагает почистить кеш, cookie, историю. Можно включить автоочистку при выходе.
Есть ночной режим, благодаря которому фон и некоторые элементы большинства сайтов окрашиваются в черный цвет, а также встроенный сканер QR-кодов. Можно заблокировать отображение изображений и рекламы. Также есть возможность отключить JavaScript и Cookies.
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 18,99 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 117 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов) 250 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора
Главная страница |
InBrowser
«InBrowser — это инкогнито-браузер. Каждый раз, когда вы выходите из InBrowser, все, что вы сделали в приложении, будет стерто, включая историю, файлы cookie и сеансы». То есть разработчики как бы говорят: это не столько отдельный браузер, сколько режим инкогнито, выделенный в отдельное приложение. Прямой конкурент Firefox Focus.
В целом браузер производит странное впечатление, однако по функциональности он лучший среди компактных браузеров с защитой от отслеживания. Он умеет интегрироваться с Orbot (для создания соединения с интернетом через сеть Tor без VPN), менять user agent (на выбор доступны Chrome, Firefox, Internet Explorer, Safari). Имеется «безопасный режим» — блокировка скриншотов и защита от отображения в списке последних приложений стандартными средствами Android.
Из дополнительной функциональности:
- «переформатирование текста» — перестройка десктопной версии сайта под мобильные экраны, работает она не всегда корректно, но свою функцию выполняет;
- отключение загрузки изображений;
-
запрет исполнения JavaScript и плагинов, если таковые установлены в системе.
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 6,51 Мбайт
- Потребление ОЗУ: зафиксировать не удалось, так как приложение автоматически выгружается из памяти
- Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора
Оригинальный дизайн главной страницы и переключения вкладок |
Ghostery
«Ghostery выявляет и блокирует системы слежения в Сети, защищая ваши данные, ускоряя загрузку страниц и убирая отвлекающие элементы». В общем, обычный браузер с блокировкой рекламы и трекеров. По словам разработчиков, блокировка очень продвинутая, но чем она продвинута — никто не поясняет.
Так же как и многие другие браузеры, умеет очищать все приватные данные при выходе. Для активации функции нужно перейти в «Настройки -> Очищать при выходе» и поставить все галочки. Загрузка вкладок в фоне глючит: если, не дождавшись загрузки страницы, открыть новую вкладку, а в ней открыть новый адрес, то загрузка первоначальной страницы остановится.
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 6,07 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 185 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов): 317 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): 16
Может, и некрасиво, зато шесть мегабайт памяти занимает |
Cliqz
Еще один вполне стандартный браузер с защитой от отслеживания на движке Chromium. Отличается только тем, что сам собирает статистику использования для «улучшения релевантности результатов поиска и обеспечения работы самых продвинутых функций защиты приватности».
Поддерживает синхронизацию с десктопным браузером Cliqz, имеет встроенный сканер QR-кодов. Также в настройках можно включить автоматическую очистку кеша, истории, cookie и других личных данных после закрытия приложения (Settings -> Privacy -> галочки внизу списка).
- Страница в Google Play
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 34,81 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 198 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов): 327 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): 12
И не подумаешь, что браузер занимает аж 35 Мбайт памяти |
Яндекс.Браузер с расширением Disconnect
Браузер «Яндекс» не умеет блокировать трекеры самостоятельно, зато имеет поддержку расширений, благодаря которой в него можно добавить расширение Disconnect. Рассказывать тут особо не о чем: и браузер, и Disconnect — известные продукты, о которых написано множество обзоров.
- Страница для загрузки и Disconnect
- Движок: Blink
- Потребление ПЗУ (без учета данных приложения): 80,61 Мбайт
- Потребление ОЗУ (открыта только домашняя страница): 288 Мбайт
- Потребление ОЗУ (открыто пять тестовых сайтов): 540 Мбайт
- Количество заблокированных трекеров (для пяти тестовых сайтов): 25
Самый блатной дизайн среди всех, не зря 80 Мбайт кушает |
Про скорость работы
На Galaxy S7 все рассмотренные браузеры работают настолько быстро, что отличия в скорости работы обнаружить невооруженным взглядом очень сложно (если они вообще есть…). Проблем с отображением веб-страниц также замечено не было.
Выводы: что выбрать?
Какой же браузер выбрать? Все зависит от предпочтений, но мы рекомендуем остановиться либо на Firefox Focus, либо на браузере «Яндекс» + Disconnect. Первый не поддерживает вкладки и по большому счету вообще не похож на полноценный браузер, зато его делает контора, которой можно доверять. Второй — это действительно неплохой браузер. Расширение Disconnect также хорошо известно и заслуживает доверия.
Читайте ещё больше платных статей бесплатно: https://t.me/nopaywall