在最近发布的一项研究报告中,微软的Edge在隐私评级中获得了最低分,该研究主要是对市场上主流的浏览器收集用户信息的行为进行了比较。俄罗斯网络搜索供应商Yandex开发的浏览器Yandex在隐私方面得分略好于Edge。排名最高的浏览器是Brave,它把保护用户隐私放在了最重要的位置上。
都柏林Trinity学院的计算机科学家 Doug Leith在一篇研究论文中公布了这一排名。他分析并评估了谷歌Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和Yandex提供的隐私功能。
Leith的具体做法是,研究浏览器发送出去的数据,包括唯一标识符和URL携带的相关详细信息,通过这些信息浏览器可以对用户进行追踪。
根据研究结果Leith将这些浏览器归为了三类,最好的第一类是Brave,中等的第二类是Chrome、Firefox和Safari,最差的第三类是Edge和Yandex。
Leith在论文中写道:
从隐私保护的角度来看,微软的Edge和Yandex与其他被研究的浏览器在本质上是不同的。两者都上传可用于将请求(以及相关的IP地址/位置)链接到后端服务器的永久标识符。Edge还会将设备的硬件UUID发送给Microsoft,Yandex做法也类似,它会将一个哈希硬件标识符传输到后端服务器。据我所知,用户是无法禁止这种行为的。除了搜索自动填充功能需要用到所访问网页的详细信息外,两者都会将网页信息上传到与该功能不相关的服务器上。
研究发现,Edge和Yandex都会上传与设备硬件绑定的标识符。这些特殊的字符串还可以链接到同一设备上运行的各种应用程序,即使在浏览器重新安装之后仍然还在。Edge将设备的通用唯一标识符上传到位于self.events.data.microsoft.com的Microsoft服务器上。这个标识符很难更改或删除。
研究人员表示,Edge的自动补全功会将访问网站的详细信息发送到后端服务器,但用户无法禁用该功能。不过,Ars的读者karinto在评论中对这个问题进行了指正,他说可以禁用该功能,并给出了方法。
Yandex通过自动补全功能收集硬件MAC地址的哈希加密值和访问网站的详细信息,这些在Yandex上倒是可以禁用的。通过Edge和Yandex收集的浏览器所在硬件的标识符,这些历史数据在重新安装浏览器后仍然可以继续保存,也同样可以用来与设备上其它各应用程序建立联系。这些标识符还会被用来对用户IP地址进行持续性的追踪。
该研究报告指出,“将设备的标识符传到后台服务器是很危险的事情,因为它是用户设备持久性的强标识,Edge根据需要可以对这一数据信息进行加工处理,甚至给其它应用程序使用(允许在同一生产商的应用程序间共享数据),用户还不能轻易的做出更改。”
微软的一名代表在不具名的情况下做了尚没有验证的回复,不过她并没有给出Edge这样做的理由。她解释说,在使用前Edge会征求收集用户行为数据的许可,这样做是为了改进优化产品。而且这个功能也是可以关闭的。虽然这些数据“可能”包含了被访问网站的信息,但它并没有存储在用户的微软账户中。
当用户登录到Edge后,他们可以同步自己的浏览器历史记录,以便在其他设备上使用。用户可以在privacy.microsoft.com的隐私功能设置上查看和删除此历史记录。微软smartscreen是Windows 10上的一项防护功能,可以防止网络钓鱼和恶意软件网站,并且通过检查用户访问的URL,帮助用户检测是否在下载潜在的恶意文件。用户可以通过Edge的隐私和服务设置禁用这些默认功能。
利用唯一标识符,可以帮助Edge用户只通过一步操作就能删除存储在Microsoft服务器上的相关诊断数据。
对于处在第一类里的Brave,研究发现,Brave的默认设置中提供了很多隐私权限,不过它没有允许跟踪IP地址的标识符集合,也没有允许与后端服务器共享访问过的网页的详细信息。
Chrome、Firefox和Safari是属于中间阵营的。在输入URL时,这三种浏览器的自动补全功能都能实时传输已访问站点的详细信息。但是,可以禁用这些默认设置。其他可能侵犯用户隐私的行为还有:
苹果官员拒绝对该报告置评,但同时指出,Safari在默认情况下提供了对第三方cookie屏蔽的功能,还有一项名为智能跟踪防护(Intelligent Tracking Prevention)的功能,这两项功能对第三方网站都限制了获取用户信息的能力。
Mozilla官员在一份声明中写道:
只有当用户打开同步服务时,浏览历史才会被上传到Mozilla,同步服务的目的是为了在用户的设备之间共享数据。与其他浏览器不同的是,同步数据是端到端加密的,因此Mozilla也无法访问它。 Firefox确实收集了一些关于用户如何与我们的产品交互的技术数据,但这并不包括用户的浏览历史。此数据与随机生成的唯一标识符一起上传到服务器。IP地址将被保留一段时间,用于安全和欺诈检测,之后便会被删除。它们从遥测数据中分离出来,不用于关联不同浏览会话的用户活动。 正如研究报告本身所指出的,“将用户数据传输到后端服务器本质上并不是一种隐私侵犯。“通过限定收集和数据保存,并对用户与我们共享的数据进行加密和匿名保护,Firefox致力于保护人们的隐私,并提供安全的浏览体验。”透明公开的流程和实践证实了我们把用户需求放在首位的承诺。
谷歌官方目前还没有对研究结果做出回应。如果稍后有回应,我们会及时更新。我们研究分析的浏览器分别是Chrome版本80.0.3987.87、Firefox 73.0、Brave 1.3.115、Safari 13.0.3、Edge 80.0.361.48、Yandex 20.2.0.1145。
正如苹果公司之前的评论所说的那样,这项研究对浏览器安全的判定相对狭隘,因为它没有考虑对第三方追踪进行阻止的一面。尽管如此,这篇论文还是很好地说明了为什么Chrome、Firefox和Safari的用户使用Edge时,即便禁用了网站的自动填充功能,但从来没有效果。微软的上述回应也提供了防止其他一些数据上传的方法。虽然该浏览器为了抵御攻击提供了增强的安全措施,但假如你更在意隐私保护的话,应该禁用它的默认设置,或者干脆换个浏览器。
原文链接: Study ranks the privacy of major browsers. Here are the findings
领取专属 10元无门槛券
私享最新 技术干货