在最近发布的一项研究中,微软的Edge获得了最低的隐私评级,该研究对主要浏览器收集的用户信息进行了比较。俄罗斯网络搜索提供商Yandex开发的不太受欢迎的浏览器Yandex也有这种可疑的区别。排名最高的是把隐私放在首位的浏览器Brave。
都柏林圣三一学院的计算机科学家道格·利斯在一篇研究论文中公布了这一排名。他分析并评估了谷歌Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和Yandex提供的隐私。具体来说,沐鸣开户测速这项研究调查了浏览器发送的数据,包括与url类型相关的唯一标识符和详细信息,这些信息可以用来跟踪用户的时间。调查结果将这些浏览器分为三类,第一类是Brave,第二类是Chrome、Firefox和Safari,第二类是中等,最后一类是Edge和Yandex。
利斯在论文中写道:
从隐私的角度来看,微软的Edge和Yandex与其他被研究的浏览器在本质上是不同的。两者都发送可用于将请求(以及相关的IP地址/位置)链接到后端服务器的持久标识符。Edge还将设备的硬件UUID发送给Microsoft和Yandex,并将散列的硬件标识符发送给后端服务器。据我们所知,这种行为不能被用户禁用。除了可以共享所访问网页的详细信息的搜索自动完成功能之外,两者还可以将网页信息传输到与搜索自动完成无关的服务器。
强大、持久的标识符
研究发现,Edge和Yandex都发送与设备硬件绑定的标识符。这些独特的字符串还可以链接在同一设备上运行的各种应用程序,即使在浏览器重新安装之后仍然保持不变。Edge将设备的通用唯一标识符发送到位于self.events.data.microsoft.com的Microsoft服务器。这个标识符不容易更改或删除。研究人员表示,Edge的自动补全功能不能被禁用,该功能将输入网站的详细信息发送到后端服务器。然而,沐鸣开户测速正如Ars读者卡托在评论中指出的,禁用该功能的说明在这里。
与此同时,Yandex通过自动补全功能收集了硬件MAC地址和访问网站详细信息的加密散列,尽管后者可以被禁用。因为Edge和Yandex会收集与运行浏览器的硬件相连接的标识符,所以这些数据会在新的浏览器安装过程中持续存在,也可以用来连接运行在同一设备上的各种应用程序。然后可以使用这些标识符跟踪IP地址。
“传输设备标识符后端服务器显然是最令人担忧的,因为它是一个强大、持久的用户设备标识符可以再生,包括由其他应用程序(所以允许连接跨应用程序的数据来自同一制造商),不能轻易更改或重置用户,”该报警告说。
微软的一名代表在不具名和不具名的条件下提供了回复。她没有给出这个要求的理由。她说,Edge要求获得收集用于改进产品的诊断数据的许可。她说,这些数据可以被关闭。虽然这些数据“可能”包含了被访问网站的信息,但它并没有存储在用户的微软账户中。
浏览器同步
当用户登录到Edge后,他们可以同步自己的浏览器历史记录,以便在其他设备上使用。用户可以在privacy.microsoft.com的隐私仪表板上查看和删除此历史记录。微软的卫士smartscreen——Windows 10的一项功能,可以防止网络钓鱼和恶意软件网站,以及下载潜在的恶意文件——通过检查用户打算访问的url来工作。可以通过边缘隐私和服务设置禁用此默认功能。
唯一标识符允许边缘用户使用一次单击来删除存储在Microsoft服务器上的相关诊断数据。
在隐私光谱的另一端是勇敢。研究发现,默认的Brave设置提供了最多的隐私,没有允许跟踪IP地址的标识符集合,也没有允许与后端服务器共享访问过的网页的详细信息。
在这两者之间
Chrome、Firefox和Safari属于中间类别。在输入url时,这三种浏览器的自动补全功能都能实时传输已访问站点的详细信息。但是,可以禁用这些默认设置。其他可能伤害隐私的行为包括:
Chrome:发送一个持久的标识符和网站地址,允许这两个链接
Firefox:在遥测传输中包含可随时间链接这些内容的标识符(遥测默认为打开,但可以禁用)。Firefox还为推送通知打开了一个持久的websocket。研究人员说,websocket连接到一个唯一的标识符,可以用来跟踪不容易被禁用的设备。
Safari:默认是一个可以向“多个第三方”泄露信息的起始页面,这些第三方可以将包含标识符的页面预加载到浏览器缓存中。更重要的是,相关的iCloud进程建立了包含标识符的连接。
苹果官员拒绝对该报道置评,但确实指出,Safari在默认情况下提供了对第三方cookie的屏蔽,以及一项名为智能跟踪预防(Intelligent Tracking Prevention)的补充功能,这两项功能都限制了第三方网站获取用户信息的能力。
Mozilla官员在一份声明中写道:
只有当用户打开同步服务时,浏览历史才会被发送到Mozilla,同步服务的目的是在用户的设备之间共享数据。与其他浏览器不同的是,同步数据是端到端加密的,因此Mozilla无法访问它。
Firefox确实收集了一些关于用户如何与我们的产品交互的技术数据,但这并不包括用户的浏览历史。此数据与唯一随机生成的标识符一起传输。IP地址被保留一段时间,用于安全和欺诈检测,然后删除。它们从遥测数据中分离出来,不用于关联不同浏览会话的用户活动。
正如研究报告本身所指出的,“将用户数据传输到后端服务器本质上并不是一种隐私侵犯。“通过限制收集和保留数据,沐鸣开户测速并通过加密和匿名保护用户与我们共享的数据,Firefox致力于保护人们的隐私,并提供安全的浏览体验。”清晰和公开的实践和流程强化了我们把用户需求放在首位的承诺。
谷歌的代表没有立即对调查结果做出回应。如果稍后有回应,这篇文章将会更新。研究分析了Chrome版本80.0.3987.87、Firefox 73.0、Brave 1.3.115、Safari 13.0.3、Edge 80.0.361.48、Yandex 20.2.0.1145的行为。
正如苹果公司的背景评论所显示的那样,这项研究对浏览器安全的看法很狭隘,因为它没有考虑到阻止第三方追踪的功能。尽管如此,这篇论文还是很好地说明了为什么使用Edge的用户、Chrome、Firefox和Safari的用户可能想要禁用网站的自动完成功能,而我从来没有发现这个功能有那么有用。微软的上述回应也提供了抑制其他一些数据传输的方法。虽然该浏览器提供了增强的安全措施,可以抵御攻击,但优先考虑保护隐私的用户应该考虑禁用默认行为或使用不同的浏览器。