精华内容
下载资源
问答
  • 2013年爆发了“棱镜门”事件想必大家都记忆尤新,因此今天来特地聊一下 浏览器隐私防范。 1.如何选择浏览器? 当今浏览器市场,名气大且使用广泛的国外浏览器,主要有:Firefox、Chrome、Edge、IE、Chromium等。...

    2013年爆发了“棱镜门”事件想必大家都记忆尤新,因此今天来特地聊一下 浏览器的隐私防范。

    1.如何选择浏览器?

    当今浏览器市场,名气大且使用广泛的国外浏览器,主要有:Firefox、Chrome、Edge、IE、Chromium等。其中,Firefox和Chromium是开源浏览器,Chrome、Edge和IE是闭源的。很多用户可能会认为Chrome和Edge也 是开源的。虽然 Chrome和Edge 基于开源的 Chromium,但是 它们包含自己的闭源的模块。

    收集用户信息会给商业公司带来利益,因此商业公司有收集用户隐私的动机。

    比如Google 2018年所发布的 Chrome 69 曝出了多个隐私方面的严重问题,先是自动登录凭证,同步浏览器数据;现在又有用户发现浏览器的清空所有 Cookies 功能不会清空掉所有浏览器保存的 Cookies,而是会选择性保留所有 Google 的 Cookies,这一做法既带来隐私方面的问题又会带来安全方面的问题,因为用户的 Google 账号通常会保留敏感数据,保留 Cookies 可能会让其他人更容易登录。

    可参考:https://news.ycombinator.com/item?id=18064537

    因此,从商业化角度讲,这几款浏览器的安全性排名为Firefox/Chromium > Chrome/Edge > IE.

    国产的浏览器(金山的“猎豹浏览器、搜狗的“搜狗浏览器、””奇虎的“360浏览器”、腾讯的“QQ浏览器”、百度的“百度浏览器”等)大多基于IE的Trident内核或Chromium的Blink内核,由于自身不会及时更新内核版本,不及时剔除过时的插件如flash,可能导致浏览器存在0day漏洞,且各种过程浏览器自身存在严重的隐私问题,会收集用户的上网行为并保存到它们自家的服务器上。一旦使用有严重安全隐患的国产浏览器,即使你在其它层面隐私防范做得再好,也无济于事,因此任何国产浏览器是万万不能用的。

     

    2.CA证书防范

    什么是CA证书?

    在访问一个网站时,多年前通常使用HTTP 协议来传输 Web 内容。由于HTTP协议是明文传输的,因此用户和网站交互的内容可能被监听甚至篡改。

    可参考:https://zhuanlan.zhihu.com/p/31344484

    因此,诞生了HTTPS和TLS协议。

    HTTPS 协议,就是“HTTP 协议”和“TLS 协议(Transport Layer Security)”的组合。来实现Web内容加密。

    TLS协议如何实现加密呢?

    可参考:https://www.cloudflare.com/learning/ssl/transport-layer-security-tls/

    大致过程是客户端先向网站发送Client Hello Message交换密钥握手,然后就可以密文传输。

    CA证书起什么作用?

    由于在握手过程中双方还没有完成交换密钥,因此该过程数据是明文传输,假设有一个攻击者处于“浏览器”和“网站服务器”的线路之间,这个攻击者就可以攻破劫持并伪造双方的密钥,使得网站以为攻击者是客户端,客户端以为攻击者是网站,该过程也称中间人攻击。

    因此网站方面需要在某个 CA 那里购买一个数字证书。该证书通常会对应一个文件包含公钥,还有一个文件包含私钥。当浏览器访问该网站,W服务器首先把包含公钥的证书发送给浏览器,浏览器验证网站发过来的证书。如果发现存在问题,浏览器会提示“CA 证书安全警告”。

    如果操作系统中被植入恶意证书,会起到适得其反的作用,因此需要检查并禁用恶意证书。

    具体案例可参考:https://www.zhihu.com/question/50919835

    https://www.zhihu.com/question/50298017

    在windows中, 运行-certmgr可打开证书管理器,在受信任的根证书列表中停用所有China、HongKong、Macao相关的证书。

     

    3.DNS防范

    一般来说,在互联网上都有可信赖的网域服务器,但为减低网络上的流量压力,一般的域名服务器都会把从上游的域名服务器获得的解析记录暂存起来,待下次有其他机器要求解析域名时,可以立即提供服务。一旦有关网域的局域域名服务器的缓存受到污染,就会把网域内的电脑导引往错误的服务器或服务器的网址。

    可参考:https://www.dns.com/supports/1013.html

    https://www.thepaper.cn/newsDetail_forward_8259070

    如何避免DNS污染?

    DNS over HTTPS利用HTTP协议的GET命令发出经由JSON等编码的DNS解析请求。[较于传统的DNS协议,此处的HTTP协议通信处于具有加密作用的SSL/TLS协议(两者统称作HTTPS)的保护之下。

    当前最新的Chrome、chromium、Firefox都已经支持DOH,具体设置方法可参考:

    https://zhuanlan.zhihu.com/p/75845767

    https://www.yeeach.com/post/1507

     

    4.SNI防范

    服务器名称指示(英语:Server Name Indication,缩写:SNI)是TLS的一个扩展协议。在该协议下,在握手过程开始时客户端告诉它正在连接的服务器要连接的主机名称。这允许服务器在相同的IP地址和TCP端口号上呈现多个证书,并且因此允许在相同的IP地址上提供多个安全(HTTPS)网站(或其他任何基于TLS的服务),而不需要所有这些站点使用相同的证书。

    客户端将包含其连接到的站点主机名的SNI扩展添加到ClientHello消息。它在TLS握手期间将ClientHello发送到服务器。由于客户端和服务器此时不共享加密密钥,因此ClientHello消息未被加密发送。

    在2018年7月左右的互联网工程任务组(IETF)会议上,苹果公司、Cloudflare和Mozilla的工程师在一项名为“加密服务器名称指示(ESNI)”的新协议上获取了进展,该协议将能解决TLS SNI暴露给窃听者的问题。

    那么为什么以前无法对原始SNI进行加密,现在可以加密了呢?如果客户端和服务器尚未协商,加密密钥又从何而来?答案就是“DNS”。服务器在已知的DNS记录上发布一个公钥,客户端可以在连接之前获取该公钥(A、AAAA和其他记录已经是这样做的了)。然后,客户端将ClientHello中的SNI扩展替换为“加密的SNI”扩展,该扩展不同于原来的SNI扩展,而是使用对称加密密钥(用服务器公共密钥派生的密钥)进行加密的。

    https://blog.cloudflare.com/esni/

    目前只有Firefox浏览器支持ESNI,设置方法为:

    https://gulut.github.io/gulut-blog/post1/2020/06/13/2020-06-13-talk-about-esni/

    https://zhuanlan.zhihu.com/p/47407337

     

    展开全文
  • 作者丨DAN GOODIN译者丨大小非策划丨褚杏娟在最近发布的一项研究报告中,微软的 Edge 在隐私评级中获得了最低分,该研究主要是对市场上主流的浏览器收集用户信息的行为进行了比较。俄罗斯网络搜索供应商 Yandex 开发...

    e899585e1868cff2a4f6540dc8b1c2f6.gif

    作者丨DAN GOODIN

    译者丨大小非

    策划丨褚杏娟

    在最近发布的一项研究报告中,微软的 Edge 在隐私评级中获得了最低分,该研究主要是对市场上主流的浏览器收集用户信息的行为进行了比较。俄罗斯网络搜索供应商 Yandex 开发的浏览器 Yandex 在隐私方面得分略好于 Edge。排名最高的浏览器是 Brave,它把保护用户隐私放在了最重要的位置上。

    都柏林 Trinity 学院的计算机科学家 Doug Leith 在一篇研究论文中公布了这一排名。他分析并评估了谷歌 Chrome、Mozilla Firefox、Apple Safari、Brave、Edge 和 Yandex 提供的隐私功能。

    Leith 的具体做法是,研究浏览器发送出去的数据,包括唯一标识符和 URL 携带的相关详细信息,通过这些信息浏览器可以对用户进行追踪。

    根据研究结果 Leith 将这些浏览器归为了三类,最好的第一类是 Brave,中等的第二类是 Chrome、Firefox 和 Safari,最差的第三类是 Edge 和 Yandex。

    Leith 在论文中写道:

    从隐私保护的角度来看,微软的 Edge 和 Yandex 与其他被研究的浏览器在本质上是不同的。两者都上传可用于将请求 (以及相关的 IP 地址 / 位置) 链接到后端服务器的永久标识符。Edge 还会将设备的硬件 UUID 发送给 Microsoft,Yandex 做法也类似,它会将一个哈希硬件标识符传输到后端服务器。据我所知,用户是无法禁止这种行为的。除了搜索自动填充功能需要用到所访问网页的详细信息外,两者都会将网页信息上传到与该功能不相关的服务器上。

    强大且删除不掉的标识符

    研究发现,Edge 和 Yandex 都会上传与设备硬件绑定的标识符。这些特殊的字符串还可以链接到同一设备上运行的各种应用程序,即使在浏览器重新安装之后仍然还在。Edge 将设备的通用唯一标识符上传到位于 self.events.data.microsoft.com 的 Microsoft 服务器上。这个标识符很难更改或删除。

    研究人员表示,Edge 的自动补全功会将访问网站的详细信息发送到后端服务器,但用户无法禁用该功能。不过,Ars 的读者 karinto 在评论中对这个问题进行了指正,他说可以禁用该功能,并给出了方法。

    Yandex 通过自动补全功能收集硬件 MAC 地址的哈希加密值和访问网站的详细信息,这些在 Yandex 上倒是可以禁用的。通过 Edge 和 Yandex 收集的浏览器所在硬件的标识符,这些历史数据在重新安装浏览器后仍然可以继续保存,也同样可以用来与设备上其它各应用程序建立联系。这些标识符还会被用来对用户 IP 地址进行持续性的追踪。

    该研究报告指出,“将设备的标识符传到后台服务器是很危险的事情,因为它是用户设备持久性的强标识,Edge 根据需要可以对这一数据信息进行加工处理,甚至给其它应用程序使用(允许在同一生产商的应用程序间共享数据),用户还不能轻易的做出更改。”

    微软的一名代表在不具名的情况下做了尚没有验证的回复,不过她并没有给出 Edge 这样做的理由。她解释说,在使用前 Edge 会征求收集用户行为数据的许可,这样做是为了改进优化产品。而且这个功能也是可以关闭的。虽然这些数据“可能”包含了被访问网站的信息,但它并没有存储在用户的微软账户中。

    浏览器同步

    当用户登录到 Edge 后,他们可以同步自己的浏览器历史记录,以便在其他设备上使用。用户可以在 privacy.microsoft.com 的隐私功能设置上查看和删除此历史记录。微软 smartscreen 是 Windows 10 上的一项防护功能,可以防止网络钓鱼和恶意软件网站,并且通过检查用户访问的 URL,帮助用户检测是否在下载潜在的恶意文件。用户可以通过 Edge 的隐私和服务设置禁用这些默认功能。

    利用唯一标识符,可以帮助 Edge 用户只通过一步操作就能删除存储在 Microsoft 服务器上的相关诊断数据。

    对于处在第一类里的 Brave,研究发现,Brave 的默认设置中提供了很多隐私权限,不过它没有允许跟踪 IP 地址的标识符集合,也没有允许与后端服务器共享访问过的网页的详细信息。

    第二阵营的浏览器

    Chrome、Firefox 和 Safari 是属于中间阵营的。在输入 URL 时,这三种浏览器的自动补全功能都能实时传输已访问站点的详细信息。但是,可以禁用这些默认设置。其他可能侵犯用户隐私的行为还有:

    Chrome:上传一个持久化的标识符和网站地址,并将这两个信息进行关联。

    Firefox:在遥测传输中包含可随时间链接这些内容的标识符 (遥测功能默认打开,但可以禁用)。Firefox 还为推送通知打开了一个永久的 websocket。研究人员表示,websocket 与一个唯一的标识符链接,可以用来追踪设备且不容易被禁用。

    Safari:默认情况下,启动页面会将信息泄露给“多个第三方”,这些第三方可以将包含标识符的页面预加载到浏览器缓存中。更重要的是,相关的 iCloud 进程还建立了包含标识符的连接。

    苹果官员拒绝对该报告置评,但同时指出,Safari 在默认情况下提供了对第三方 cookie 屏蔽的功能,还有一项名为智能跟踪防护 (Intelligent Tracking Prevention) 的功能,这两项功能对第三方网站都限制了获取用户信息的能力。

    Mozilla 官员在一份声明中写道:

    只有当用户打开同步服务时,浏览历史才会被上传到 Mozilla,同步服务的目的是为了在用户的设备之间共享数据。与其他浏览器不同的是,同步数据是端到端加密的,因此 Mozilla 也无法访问它。

    Firefox 确实收集了一些关于用户如何与我们的产品交互的技术数据,但这并不包括用户的浏览历史。此数据与随机生成的唯一标识符一起上传到服务器。IP 地址将被保留一段时间,用于安全和欺诈检测,之后便会被删除。它们从遥测数据中分离出来,不用于关联不同浏览会话的用户活动。

    正如研究报告本身所指出的,“将用户数据传输到后端服务器本质上并不是一种隐私侵犯。“通过限定收集和数据保存,并对用户与我们共享的数据进行加密和匿名保护,Firefox 致力于保护人们的隐私,并提供安全的浏览体验。”透明公开的流程和实践证实了我们把用户需求放在首位的承诺。

    谷歌官方目前还没有对研究结果做出回应。如果稍后有回应,我们会及时更新。我们研究分析的浏览器分别是 Chrome 版本 80.0.3987.87、Firefox 73.0、Brave 1.3.115、Safari 13.0.3、Edge 80.0.361.48、Yandex 20.2.0.1145。

    正如苹果公司之前的评论所说的那样,这项研究对浏览器安全的判定相对狭隘,因为它没有考虑对第三方追踪进行阻止的一面。尽管如此,这篇论文还是很好地说明了为什么 Chrome、Firefox 和 Safari 的用户使用 Edge 时,即便禁用了网站的自动填充功能,但从来没有效果。微软的上述回应也提供了防止其他一些数据上传的方法。虽然该浏览器为了抵御攻击提供了增强的安全措施,但假如你更在意隐私保护的话,应该禁用它的默认设置,或者干脆换个浏览器。

    参考阅读:

    https://arstechnica.com/information-technology/2020/03/study-ranks-edges-default-privacy-settings-the-lowest-of-all-major-browsers/


    InfoQ 读者交流群上线啦!各位小伙伴可以扫描下方二维码,添加 InfoQ 小助手,回复关键字“进群”申请入群。大家可以和 InfoQ 读者一起畅所欲言,和编辑们零距离接触,超值的技术礼包等你领取,还有超值活动等你参加,快来加入我们吧!

    59003df9b23ad1dd43fc1d4e818f0045.png

    8e6f0be6968d61a1d9f2366527f70498.gif

    点个在看少个 bug 👇

    展开全文
  • 编者按:互联网时代的网络生活,上网冲浪中浏览器的使用是必不可少的。...隐私安全性对于用户来说,是一个至关重要的问题。作为一个Google Chrome浏览器一名老粉的笔者,将在本文中为大家介绍并对C...

    编者按:互联网时代的网络生活,上网冲浪中浏览器的使用是必不可少的。于是浏览器几乎成了几乎凡是跟网络相关的动作,都会使用到浏览器。当我们日复一日,年复一年地使用浏览器冲浪时,在浏览器上保存了用户相当多的缓存数据,如各种网上登录的账号、密码、电商交易信息以及个人信息等等。隐私的安全性对于用户来说,是一个至关重要的问题。作为一个Google Chrome浏览器一名老粉的笔者,将在本文中为大家介绍并对Chrome浏览器进行隐私安全方面的测试,以便为大家还原一个浏览器是否真的能够做到保护用户隐私安全的问题!

    安全为先 Chrome浏览器隐私安全性测试(已完成待审)
    安全为先 Chrome浏览器隐私安全性测试

        互联网上驰骋多年的老网虫们,往往比较注意到网页浏览过程中存在隐私泄露的可能性,为了研究这个问题和获得隐私保护,他们可以去使用并且研究Chrome浏览器。点击下载Chrome浏览器

    本文重点

        为用户介绍浏览器保护用户隐私的功能特点,通过测试直接反映在Chrome浏览器的网上冲浪平台下,用户使用过程的信息得到保护的,隐私安全完全可以保障。本文将Chrome浏览器分为四个方面进行了全面的评测。

        隐身模式中,主要介绍这种功能模式之下,如何使用Chrome浏览器隐身的模式进行上网冲浪,如何使用浏览器帮助项来辅助用户更好地使用Chrome浏览器。

        历史清理包括了浏览器浏览历史的清理和下载历史的清理,通过功能的运用把用户涉及隐私方面访问信息清空。

        隐私设置针对具体全面的八个方面专项的调试,以达到全面保护隐私安全的目的。

    典型模式--隐身模式

        提到隐身,可能很多用户都会联想到即时在线聊天工具的隐身设置,就是当用户所使用的聊天工具时,不想让其他在线用户看到自己的在线状态。

        Chrome浏览器的隐身模式,跟我们前面所说的聊天工具隐身设置还不太一样,Chrome浏览器的隐身实质意义上只是不让Google Chrome浏览器保存有关您所访问网站的信息,但用户访问的网站可能还是会留有您的访问记录。保存到计算机的所有文件仍会保留在您的计算机上。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    Chrome浏览器隐身窗口

        Chrome浏览器页面右上角位置上的按钮“自定义并控制Chrome浏览器”,找到“新建隐身窗口”选项,同时,用户也可以使用键盘组合键Ctrl+Shift+N,快速启动Chrome浏览器隐身窗口。如上图所示就是从菜单项进入到隐身模式操作过程。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    进入隐身模式页面

      进入隐身模式首页页面内容中,Chrome浏览器系统将给予用户较详细的提示信息。例如Chrome浏览器隐身模式不会影响其他用户、服务器或软件的行为。请谨防:收集或共享您的相关信息的网站;跟踪您访问的网页的互联网服务提供商或雇主;以提供免费表情图片的名义跟踪您击键情况的恶意软件;通过秘密代理进行监视的行为;站在身后的人。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    隐身模式帮助信息

    一键除尽浏览、下载历史

        浏览器的隐私保护中,有一项设定是必备的,也是保护用户隐私安全的重要项目之一,那就是网页信息、浏览历史以及下载历史的管理,这里所说的管理,指的就是将这些操作历史进行清除。

        笔者这里所要测试的是Chrome浏览器对于这些浏览历史记录的清除能力,其中这些操作历史就分为以上提到的三点:网页信息、浏览以及下载历史,下面内容中,我们将分为这三个方面来逐一地进行功能使用上的清除测试,体验Chrome浏览器隐私保护的效果。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    Chrome高级选项中隐私设置

        在Chrome浏览器高级选项中,我们看到处在第一项的位置上的就是隐私设置。在这里,用户可以很方便地通过“清除浏览器数据”按钮将所有设定好的项目轻松清除掉,而无需进入到下一级菜单进行再次设定。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    清除Chrome浏览器数据

    清除浏览历史记录

        目前大多数的浏览器在浏览历史记录中,默认情况下都会自动为用户保留过往浏览过的网页地址信息,这个功能有时对用户来说是很方便的功能,但是有时却成了用户个人隐私暴露的直接导火线。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    浏览历史记录显示页面

        两种方式清除网页浏览历史记录,“删除所选项”和“清除所有浏览数据”。一键点击即可完成对历史记录的清除。

    清除下载历史记录

    安全为先 Chrome浏览器隐私安全性测试(待写)
    下载历史记录页面

        由于Chrome浏览器本身系统就集成下载工具,因此用户在使用Chrome浏览器下载资源之后,浏览器会自动将这些下载过的信息保存下来,存留在下载内容功能项中。处于用户隐私考虑,及时地去处理这些下载痕迹,是比较有限的控制方式。那么下载历史记录同样可以在“自定义并控制”中找到,右上角位置上的标签提供给用户对下载痕迹进行更多操作。

        小结:上述的三个Chrome浏览器浏览信息的清除方式,已经比较全面地将浏览器在使用过程中自动存留下来的信息做了全面的清除和控制,这样在其他用户再去使用Chrome浏览器时,得到的将是一个如同刚刚安装完毕的Chrome使用效果。

    Chrome隐私安全性设置

        Chrome隐私安全设置主要是针对内容设置方面,内容设置板块中包括了八个方面的设定项目,对于这八个方面涉及到了Cookie、图片、javascript、处理程序、插件、弹出式窗口、位置以及通知等。每个设置选项,都对应提供了“管理例外情况”选项,即是Chrome浏览器赋予了用户去修改内容设置的配置权限,用户可以根据个人的偏好来完成设定,以达到既能保证用户浏览器的安全使用,又能符合个人偏好的全面特点。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    Chrome浏览器内容设置八项设定

      Cookies跟浏览器的隐私安全息息相关的,在某种程度上说Cookies会危及用户的隐私和安全。这种隐患体现在用户为了查询一些相对专门的信息而访问了从未去过的网站,通常都是通过搜索引擎查到的,而这些网站包含了一种叫做网页臭虫的图片,该图片透明且只有一个象素大小以便隐藏,它们的作用是将所有访问过此页面的计算机写入cookie。而后,电子商务网站将读取这些cookie信息,并寻找写入这些cookie的网站,随即发送包含了针对这个网站的相关产品广告的垃圾邮件给进行上述搜索操作的浏览器使用者。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    Cookie和其他数据记录

      用户通过Chrome浏览器可以查看到使用Chrome浏览器浏览过的所有Cookie和其他数据记录,而只需要去查找并且清楚危险的信息即可以保障用户的安全浏览。

        除Cookie以外,其余图片、javascript、处理程序、插件、弹出式窗口、位置、通知等七项设定,用户均可以允许、阻止以及使用Chrome浏览器默认推荐三种操作方式来设定。

    危险网站内容防御能力实测

        最后我们来进行一项大家都很关心的测试项,Chrome浏览器在钓鱼、挂马网站防护能力上的测试。

        测试准备:选用五个确认为钓鱼、挂马网站的网址。清空Chrome浏览器浏览页面的数据,保证Chrome本身的洁净性,为准确测出Chrome浏览器防护危险网站的实际能力做好充分的准备。

        测试方式:逐一将每个测试网址输入到Chrome浏览器地址栏处,并试图打开网站,如果Chrome浏览器提示出“包含危险内容”,则该威胁网站被Chrome浏览器成功拦截。(备注:在每个测试网址输入并测试开始之前,我们都需要对Chrome浏览器进行清空浏览记录,保证浏览器的洁净。另测试网址可能对电脑系统带有威胁性,因此我们这里暂不提供测试网址样本。)

    安全为先 Chrome浏览器隐私安全性测试(待写)
    危险网址被Chrome浏览器成功拦截

    安全为先 Chrome浏览器隐私安全性测试(待写)
    威胁网址诊断处理

        经过测试,我们在Chrome浏览器所拦截到的页面内看到“安全浏览诊断页面”和“安全浏览隐私权政策”处理。分别点击两项可以查看到相关处理办法。

    安全为先 Chrome浏览器隐私安全性测试(待写)
    诊断页面

    Chrome浏览器拦截实测

    安全为先 Chrome浏览器隐私安全性测试(待写)
    测试结果统计

        测试结果分析:以上测试表格中,我们看到五个测试网址中有三个网址被成功拦截,这点上说明Chrome浏览器拦截效率达到了60%,所以在一定程度上,Chrome浏览器自身对挂马木马的拦截能力基本可以满足用户的安全浏览需要。

        小贴士:不过在这里,笔者希望大家在打开这些可疑威胁网址时,Chrome浏览器应该配合专门的杀毒软件来使用,这样可以全面完美地保护用户上网浏览的安全。

    本文总评

        以上我们评述了Chrome浏览器隐私防护方面的功能特点,针对Chrome浏览器隐身模式、历史清理、隐私设置以及钓鱼挂马网站拦截测试等四个主要方面进行了全面的评测。

        隐身模式中,我们主要介绍这种功能模式之下,如何使用Chrome浏览器隐身的模式进行上网冲浪,解释了Chrome浏览器的隐身模式实质意义上只是不让Google Chrome浏览器保存有关您所访问网站的信息。

        历史清理包括了浏览器浏览历史的清理和下载历史的清理,通过这种细化的清理完毕之后,用户使用Chrome浏览器访问网址时产生的涉及到隐私部分的问题就得到清空。

        隐私设置其实就是Chrome浏览器隐私保护功能的基础,经过具体全面的八个方面专项的调试,以达到全面保护隐私安全的目的。

        最后是本文重点测试项。Chrome浏览器具备了防护一般挂马钓鱼网址的能力,在通常情况下,用户使用Chrome浏览器,不会受到挂马、钓鱼网址的威胁。但是为更加全面完美的保护用户上网安全,如果是配合了专门杀毒软件来使用的,Chrome浏览器的防护功能将发挥到极致。

     

    最后 非常感谢作者张林 为我们提供专业的知识,希望他越来越成功!文章链接http://soft.zol.com.cn/259/2592956.html

    展开全文
  • 在最近发布的一项研究报告中,微软的 Edge 在隐私评级中获得了最低分,该研究主要是对市场上主流的浏览器收集用户信息的行为进行了比较。InfoQ翻译了该研究报告的报道内容,具体如下。 都柏林 Trinity 学院的计算机...

    471a14eb4a857f7c1f0d53a501da93a9.png

    你好,欢迎收听极客视点。

    在最近发布的一项研究报告中,微软的 Edge 在隐私评级中获得了最低分,该研究主要是对市场上主流的浏览器收集用户信息的行为进行了比较。InfoQ翻译了该研究报告的报道内容,具体如下。

    都柏林 Trinity 学院的计算机科学家 Doug Leith 在一篇研究论文中公布了这一排名。他分析并评估了谷歌 Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和 Yandex提供的隐私功能。

    Leith 的具体做法是,研究浏览器发送出去的数据,包括唯一标识符和 URL 携带的相关详细信息,通过这些信息浏览器可以对用户进行追踪。

    根据研究结果 Leith 将这些浏览器归为了三类,最好的第一类是 Brave,中等的第二类是 Chrome、Firefox 和 Safari,最差的第三类是 Edge 和 Yandex。

    强大且删除不掉的标识符

    研究发现,Edge 和 Yandex 都会上传与设备硬件绑定的标识符。这些特殊的字符串还可以链接到同一设备上运行的各种应用程序,即使在浏览器重新安装之后仍然还在。Edge 将设备的通用唯一标识符上传到 Microsoft 服务器上(位于 http://self.events.data.microsoft.com)。这个标识符很难更改或删除。

    研究人员表示,Edge 的自动补全功会将访问网站的详细信息发送到后端服务器,但用户无法禁用该功能。不过,Ars 的读者 karinto 在评论中对这个问题进行了指正,他说可以禁用该功能,并给出了方法。

    Yandex 通过自动补全功能收集硬件 mac 地址的哈希加密值和访问网站的详细信息,这些在 Yandex 上倒是可以禁用的。通过 Edge 和 Yandex 收集的浏览器所在硬件的标识符,这些历史数据在重新安装浏览器后仍然可以继续保存,也同样可以用来与设备上其它各应用程序建立联系。这些标识符还会被用来对用户 IP 地址进行持续性的追踪。

    该研究报告指出,“将设备的标识符传到后台服务器是很危险的事情,因为它是用户设备持久性的强标识,Edge 根据需要可以对这一数据信息进行加工处理,甚至给其它应用程序使用(允许在同一生产商的应用程序间共享数据),用户还不能轻易地做出更改。” 微软的一名代表在不具名的情况下做了尚没有验证的回复,她解释说,在使用前 Edge 会征求收集用户行为数据的许可,这样做是为了改进优化产品。而且这个功能也是可以关闭的。虽然这些数据“可能”包含了被访问网站的信息,但它并没有存储在用户的微软账户中。

    浏览器同步

    当用户登录到 Edge 后,他们可以同步自己的浏览器历史记录,以便在其他设备上使用。用户可以在隐私功能设置( http://privacy.microsoft.com )上查看和删除此历史记录。微软 smartscreen 是 Windows 10 上的一项防护功能,可以防止网络钓鱼和恶意软件网站,并且通过检查用户访问的 URL,帮助用户检测是否在下载潜在的恶意文件。用户可以通过 Edge 的隐私和服务设置禁用这些默认功能。

    利用唯一标识符,可以帮助 Edge 用户只通过一步操作就能删除存储在 Microsoft 服务器上的相关诊断数据。

    对于处在第一类里的 Brave,研究发现,Brave 的默认设置中提供了很多隐私权限,不过它没有允许跟踪 IP 地址的标识符集合,也没有允许与后端服务器共享访问过的网页的详细信息。

    第二阵营的浏览器

    Chrome、Firefox 和 Safari 是属于中间阵营的。在输入 URL 时,这三种浏览器的自动补全功能都能实时传输已访问站点的详细信息。但是,可以禁用这些默认设置。其他可能侵犯用户隐私的行为还有:

    • Chrome:上传一个持久化的标识符和网站地址,并将这两个信息进行关联。
    • Firefox:在遥测传输中包含可随时间链接这些内容的标识符 (遥测功能默认打开,但可以禁用)。Firefox 还为推送通知打开了一个永久的 websocket。研究人员表示,websocket 与一个唯一的标识符连接,可以用来追踪设备且不容易被禁用。
    • Safari:默认情况下,启动页面会将信息泄露给“多个第三方”,这些第三方可以将包含标识符的页面预加载到浏览器缓存中。更重要的是,相关的 iCloud 进程还建立了包含标识符的连接。

    谷歌官方目前还没有对研究结果做出回应。而苹果官员拒绝对该报告置评,但同时指出,Safari 在默认情况下提供了对第三方 cookie 屏蔽的功能,还有一项名为智能跟踪防护 (Intelligent Tracking Prevention)的功能,这两项功能对第三方网站都限制了获取用户信息的能力。

    以上就是对浏览器隐私安全研究的重点内容,你也可以点击原文链接了解报告详情。

    英文原文:Study ranks the privacy of major browsers. Here are the findings

    e8cf13af3fe36dee14c86bdc9b3bac16.png
    展开全文
  • iOS 设备自带的 Safari 浏览器简单易用,而且在安全性方面设计比较周到,建议用户在使用前打开“设置”,找到“Safari 浏览器”并先设置“隐私安全性”,本文就为大家介绍一下各个选项具体作用是什么。阻止跨网站...
  • 隐私模式」是浏览器的一个功能,记得小淙第一次看到这个充满安全感的名字时,心中一阵狂喜,如获珍宝,从此走上了不归路。多少个寂寞难耐的夜,我默默打开隐私模式,页面中间黑色的小人是我最默契的战友,我们相视...
  • iOS 设备自带的 Safari 浏览器简单易用,而且在安全性方面设计比较周到,建议用户在使用前打开“设置”,找到“Safari 浏览器”并先设置“隐私安全性”,本文就为大家介绍一下各个选项具体作用是什么。阻止跨网站...
  • endless:专注安全隐私的iOS web浏览器
  • 这是另一篇文章「从零开始守卫隐私」的...并且博客还提供隐私工具指南:DNS、浏览器、附加组件等等。作者毫不忌讳批评,广告过滤扩展 Adblock Plus 和 Mozilla 的都是被批评的对象。Mike Kuketz的博客​www.kuket...
  • 360安全浏览器

    2018-06-20 18:09:22
    360浏览器官方版是中国使用人数最多的浏览器,也是最注重安全浏览器。360浏览器官方版的无痕浏览功能可以让用户在浏览网页时不留下访问痕迹,这样别人就不能在你走后窥探隐私,隔离模式会在360浏览器中建立沙盒,...
  • 近期,国内知名浏览器360浏览器推出了会员套餐,价格方面月套餐为9.9元(首充1.9元),半年套餐为55.9元,年套餐为99.9元。根据官网介绍,在开通会员之后,用户可以独享六大权益,分别包括DoH安全防劫持、智...
  • 作者Dan Goodin原文链接:https://arstechnica.com/information-technology/2020/03/study-ranks-edges-default-privacy-settings-the-lowest-of-all-major-browsers/最近发表的一项研究比较了主要浏览器收集的用户...
  • E安全9月4日讯 谷歌浏览器是最常用的浏览器之一,近日,谷歌表示,Android系统中的Chrome浏览器将很快支持dns -over- https (DoH),该协议可加密和保护DNS查询以提高用户隐私。其实,自Chrome 83发布以来,桌面版本的...
  • 主要发现 百度浏览器是微软和安卓平台上的一种网络浏览器,个人用户在向服务器传输数据时进行加密,就算加密了也很容易被解密。浏览器更新时可能很轻易地被中间攻击者利用,执行任意代码。 安卓版本的百度浏览器...
  • 隐私模式」是浏览器的一个功能,记得小淙第一次看到这个充满安全感的名字时,心中一阵狂喜,如获珍宝,从此走上了不归路。多少个寂寞难耐的夜,我默默打开隐私模式,页面中间黑色的小人是我最默契的战友,我们相视...
  • Comodo Dragon基于chrom的一款加强个人隐私安全浏览器。可以轻松识别SSL安全认证,隐藏cookie,维护个人隐私,还带了网页翻译功能。
  • 国外知名“磕毛豆”安全浏览器 Comodo作为全球领先的在线安全和在线信任服务提供商和安全技术创新领导者,完全有责任为全球互联网用户提供一个更安全的浏览器,所以我们推出了Comodo龙浏览器,基于Google开源项目...
  • 苹果一直比较关注用户的个人信息安全,并且在 iOS 系统中,采用了各种方式来保护用户隐私。Safari 中的各项设置,你是否都清楚是什么功能呢?阻止跨网站跟踪或许很多用户都遇到过这样的情况:当自己浏览在网页上浏览...
  • Brave是一个mac安全的Web浏览器。勇敢不仅仅是一个浏览器。这是一种思考网络运作方式的新方式。 Brave是一个开源的,由客户隐私为重点,以性能为导向的网络先驱构建。使用Brave实现隐私安全和快速浏览。Macdown...
  • 360安全浏览器 土豆

    2009-04-22 20:07:28
    隐私模式,保护隐私安全 用户开启隐私模式后不仅浏览历史记录不会被保存,Internet临时文件、输入网址记录以及恢复列表项等数据在浏览器关闭后都将荡然无存。这种模式下访问任何网站都不会留下记录,非常适合网吧...
  • 360安全浏览器完全突破了传统的以查杀、拦截为核心的安全思路,在计算机系统内部构造了一个独立的虚拟空间——“360沙箱”,使所有网页程序都密闭在此空间内运行。因此,网页上任何木马、病毒、恶意程序的攻击都会被...
  • 【360安全浏览器概括介绍】 360安全浏览器(360Safety Browser)是360安全中心推出的一款基于IE内核的浏览器,是世界之窗开发者凤凰工作室和360安全中心合作的产品。 【360安全浏览器基本介绍】 360安全浏览器是...
  • 安全浏览器极速版

    2020-10-30 15:31:48
    本软件尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务,本软件会按照本隐私权政策的规定使用和披露您的个人信息。但本软件将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策...
  • 360政企安全战略合作伙伴据研究机构MITRE报告显示,高达80%以上的攻击方法针对终端环境,而浏览器首当其冲。浏览器功能强大、数据丰富,且高度依赖于第三方插件,是网络犯罪分子在业务系统和个人网络建立攻击立足点...
  • A5下载站向大家推荐一款安全性超强的安全浏览器软件——Comodo Dragon浏览器。Comodo Dragon基于Google开源项目Chromium浏览器技术,采用先进的域验证技术、清除错误报告机制,可以轻松识别SSL安全认证,隐藏cookie...
  • Brave是一个mac安全的Web浏览器。不仅仅是一个浏览器。这是一种思考网络运作方式的新方式。 Brave是一个开源的,由客户隐私为重点,以性能为导向的网络先驱构建。使用Brave实现隐私安全和快速浏览。Brave会自动...
  • 据传微软的下一代浏览器IE8将推出浏览器隐私保护功能。不过对于使用“世界之窗”的朋友们却已经享受到这种服务了。在微软仅仅提出构想的时候,世界之窗的创新功能已经为隐私保护提供了完美的解决方案。它更添加了...
  • 尤其在数字化高速发展的今天,一旦浏览器受到攻击就会泄露大量隐私数据,可能为政企和个人酿成难以预计的后果。10月15日,“聚体系之力,护航大终端安全——360政企终端安全产品体系发布会”亮剑ISC平台。拥有...
  • 更多:• 代码贡献得到 Linux 之父关注,酷派奖励员工 10 万股期权 • AWS 提供 macOS EC2 实例,用了一卡车的 Mac mini作者:硬核老王(本文字数:795,阅读时长大约:1 分钟)基于 Chromium 的 360 安全浏览器尝试...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,413
精华内容 565
关键字:

安全浏览器隐私