都柏林圣三一学院教授 Douglas J. Leith 发表研究报告《Web Browser Privacy: What Do Browsers Say When They Phone Home》(PDF),分析了 Google Chrome、Mozilla Firefox、Apple Safari、Brave、Microsoft Edge 和 Yandex Browser 收集用户数据的情况。
Chrome是目前最流行的浏览器,其次是Safari和Firefox。在这些浏览器之间,大多数的web访问都使用这些浏览器。Brave是最近推出的一款以隐私为导向的浏览器,Edge是新的微软浏览器,Yandex在讲俄语的人中很受欢迎(仅次于Chrome)。值得注意的遗漏包括Internet Explorer,因为它在很大程度上局限于传统设备、特定于三星浏览器等移动手机的浏览器以及在亚洲流行的UC浏览器。
评估的目的
一般网络浏览期间与此后端数据交换相关的隐私风险。
(i)这些数据是否允许服务器随着时间的推移跟踪浏览器实例的IP地址(大致的位置可以从IP地址推断出来,因此IP地址跟踪可能是位置跟踪的替代项)
(ii)浏览器是否泄漏了所访问网页的详细信息
测试内容
在不同的浏览器中统一应用,并收集浏览器为响应这些测试而生成的网络连接上的数据,包括连接的内容。在这些测试中,我们评估共享的数据:
(i)首次启动新的浏览器安装时,
(ii)关闭并重新启动浏览器时,
(iii)将URL粘贴到顶栏时,
(iv)将aURL键入顶栏时,
(v)当浏览器处于空闲状态时。
测试结果
从隐私角度来看,这些浏览器按优劣程度可分为三组。位于第一梯队(最私密的)的只有 Brave 一个;Chrome,Firefox 和 Safari 并列于第二;而 Edge 则和 Yandex 处于第三梯队(私密性最差)。
报告指出,从隐私的角度来看,Microsoft Edge 和 Yandex 比另外四个浏览器更令人担忧。两者都会发送链接到设备硬件的标识符,因此在新安装的浏览器中都会保留,并且还可以用于链接在同一设备上运行的不同应用程序。Edge 将设备的硬件 UUID 发送给 Microsoft,这是一个强大而持久的标识符,它不能轻易更改或删除。
从首次启动以来,Edge 就被发现执行了 phone home 的操作。同时,该浏览器还记录了在地址栏中键入的每个 URL,并与 Microsoft 的 SmartScreen 网站(nav.smartscreen.microsoft.com)还有 Bing 进行共享。
报告总结称,从隐私的角度来看,微软Edge和Yandex与其他所研究的浏览器有质的不同。两者都发送持久标识符,而不能用于将请求(和关联的IP地址/位置)链接到后端服务器。Edge 将设备的硬件UUID发送到microsofta,Yandex同样将散列硬件标识符发送到后端服务器。据我们所知,这种行为不能被用户禁用。除了可以共享所访问网页的详细信息的搜索自动完成功能外,还可以将网页信息发送到未更新的服务器以进行搜索自动完成。
pdf:https://www.scss.tcd.ie/Doug.Leith/pubs/browser_privacy.pdf
閱讀更多 代碼接盤俠 的文章
