Researcher warned that Microsoft Edge and Yandex.Browser have privacy issues

DronVR

Private access level
Joined
Jun 1, 2014
Messages
277
Reaction score
247
Points
43
Researcher warned that Microsoft Edge and Yandex.Browser have privacy issues

Professor Douglas J Leith of Trinity College Dublin studied network activity of popular browsers, and came to the conclusion that Microsoft Edge and Yandex.Browser show alarming performance compared to Brave, Chrome, Firefox and Safari.

The expert tested Chrome (80.0.3987.87), Firefox (73.0), Brave (1.3.115), Safari (13.0.3), Edge (80.0.361.48) and Yandex.Browser (20.2.0.1145), setting them with default settings and using proxies to capture traffic. He checked the data sent by browsers on first launch, as well as the data that browsers transmit when they go to a web page, including if the URL was typed manually (this could be the case of the cloud-based autocomplete function). In addition, the expert studied how browsers behave if they are left running and inactive for a day. All tests Leith conducted on the Mac and intentionally did not log in to the services of Google, Microsoft, Apple and Firefox, since he was interested in the unconfigured default settings.

In his report, Leith writes that as a result, browsers were divided into three groups according to their level of privacy. The first group, with the highest level of privacy, included only the Brave browser. The second group with average results included Chrome, Firefox and Safari. Edge and Yandex.Browser were credited to the third group of browsers with the most unsatisfactory privacy.

The researcher explains that the problem with the last two browsers is that the identifiers that they pass to their developers allow different search queries and sessions to be linked together. So, Edge and Yandex.Browser use the so-called "hardware IDs", that is, identifiers that bind to physical equipment and cannot be easily changed.

At the same time, Chrome and Firefox use identifiers, which, in essence, are random numbers generated when the browser is first launched. Such IDs are saved between sessions, but you can easily get rid of them during a new installation: for this, before a new installation of browsers, Leith deleted all configuration data remaining in the user profile.

The analyst continued further experiments by inserting (not entering) the URL into the address bar of browsers. Chrome creates a request to www.google.com/complete/search with URL details (e.g. Boring test page ), passed as a parameter, as well as two identifiers (psi and sugkey). Edge also sends the URL to the Bing autocomplete API along with the cookie cookie. Yandex.Browser sends the URL to its servers before starting navigation. Firefox, Brave and Safari do not collect any data about the address inserted into the address bar.

If you type in the URL manually, the functions of autocomplete URL or search come into play. Leith says that in this test Safari shows the most aggressive behavior: the browser generates 32 different requests to the Google and Apple servers. At the same time, requests to Apple servers include IDs that are saved after the browser is restarted, which means that they can be used to restore browsing history and link requests to each other.

In turn, the Edge browser sends the typed text to the site. www.bing.com as you type it. A separate request is sent for almost every character typed, resulting in about 25 requests, each of which contains a cvid value, the same for all requests, but changing when the browser restarts.

Yandex. The browser also sends text to yandes.ru/suggest-browser as it is typed. Like Edge, it creates a query for each letter, and ultimately generates about 26 queries. Requests are accompanied by the transfer of cookies and a number of different IDs. When the set is completed, two more requests are sent to yandex.ru and translate.yandex.ru. The first passes the typed URL, and the second sends the text content of the landing page.

Chrome behaves almost as aggressively: it generates 19 requests to Google servers, and these requests also contain an identifier that is saved when the browser restarts.

Firefox is more private: it does not transmit the ID along with the requests and stops the requests after the first typed word, so it generates a total of 4 requests.

The Brave browser has shown itself best of all, which disables autocompletion by default and does not send any requests at all when the user enters text in the address bar.

Of course, the question remains how exactly the companies use the data obtained in this way, and how the situation changes if the user logs in to the browser to use the synchronization of bookmarks and history on different devices.

So far, only representatives of Mozilla have commented on Leith’s study. In the organisation reported that user browsing history is only transmitted to servers in Mozilla if the user has enabled the synchronization service. Moreover, the synchronization data is fully encrypted and employees do not have access to it.

“Firefox collects some technical data about how users interact with our product, but that doesn’t apply to your browsing history. Data is transmitted along with a unique, randomly generated identifier. IP addresses are stored for a short period of time for security and abuse detection, and are then deleted. They are separated from telemetry data and are not used to compare user activity during different sessions, ”say Firefox developers.
Source
 
Original message
Исследователь предупредил, что у Microsoft Edge и Яндекс.Браузера проблемы с приватностью

Профессор Дуглас Джей Лейт (Douglas J Leith) из Тринити-колледжа в Дублине изучил сетевую активность популярных браузеров, и пришел к выводу, что Microsoft Edge и Яндекс.Браузер демонстрируют тревожные показатели, по сравнению с Brave, Chrome, Firefox и Safari.

Эксперт тестировал Chrome (80.0.3987.87), Firefox (73.0), Brave (1.3.115), Safari (13.0.3), Edge (80.0.361.48) и Яндекс.Браузер (20.2.0.1145), установив их с настройками по умолчанию и используя прокси для захвата трафика. Он проверил данные, отправленные браузерами при первом запуске, а также данные, которые браузеры передают при переходе на веб-страницу, в том числе если URL-адрес был набран вручную (так в дело может вступить облачная функция автозаполнения). К тому же эксперт изучил, как ведут себя браузеры, если их на сутки оставить запущенными и бездействующими. Все тесты Лейт проводил на Mac и намеренно не авторизовался в сервисах Google, Microsoft, Apple и Firefox, так как его интересовали именно ненастроенные установки по умолчанию.

В своем отчете Лейт пишет, что в результате браузеры удалось разделить на три группы, по уровню их конфиденциальности. В первую группу, с самым высоким уровнем приватности, вошел только браузер Brave. Во вторую группу со средними результатами попали Chrome, Firefox и Safari. В третьи группу браузеров с самой неудовлетворительной приватностью были зачислены Edge и Яндекс.Браузер.

Исследователь объясняет, что проблема двух последних браузеров состоит в том, что идентификаторы, которые они передают своим разработчикам, позволяют связывать друг с другом разные поисковые запросы и сессии. Так, Edge и Яндекс.Браузер используют так называемые «аппаратные ID», то есть идентификаторы, которые привязываются к физическому оборудованию и не могут быть легко изменены.

В то же время Chrome и Firefox используют идентификаторы, которые, по сути, представляют собой случайные числа, генерируемые при первом запуске браузера. Такие ID сохраняются между сессиями, но от них можно без труда избавиться при новой установке: для этого перед новой установкой браузеров Лейт удалял все данные конфигурации, оставшиеся в профиле пользователя.

Дальнейшие эксперименты аналитик продолжил вставкой (не вводом) URL-адреса в адресную строку браузеров. Chrome при этом создает запрос к www.google.com/complete/search с деталями URL (например, Boring test page), передаваемыми в качестве параметра, а также двумя идентификаторами (psi и sugkey). Edge так же отправляет URL-адрес в API автозаполнения Bing вместе с идентификационным файлом cookie. Яндекс.Браузер передает URL на свои серверы перед началом навигации. Firefox, Brave и Safari не собирают никаких данных о вставленном в адресную строку адресе.

Если же набирать URL вручную, в дело вступают функции автозаполнения URL или поиска. Лейт рассказывает, что в данном тесте наиболее агрессивное поведение демонстрирует Safari: браузер генерирует 32 различных запроса к серверам Google и Apple. При этом запросы к серверам Apple включают в себя ID, которые сохраняются после перезапуска браузера, а значит, могут использоваться для восстановления истории просмотров и связывания запросов друг с другом.

В свою очередь браузер Edge отправляет набираемый текст на сайт www.bing.com по мере его ввода. Отдельный запрос отправляется почти для каждого набранного символа, в результате получается около 25 запросов, каждый из которых содержит значение cvid, одинаковое для всех запросов, но меняющееся при перезапуске браузера.

Ядекс.Браузер тоже отправляет текст на yandes.ru/suggest-browser по мере его набора. Равно как и Edge он создает запрос для каждой буквы, и в итоге генерирует порядка 26 запросов. Запросы сопровождаются передачей файлов cookie и ряда различных ID. Когда набор завершен, еще два запроса направляются на yandex.ru и translate.yandex.ru. Первый передает набранный URL-адрес, а второй текстовый контент целевой страницы.

Почти так же агрессивно ведет себя и Chrome: он генерирует 19 запросов к серверам Google, и эти запросы тоже содержат идентификатор, который сохраняется при перезапусках браузера.

Firefox более приватен: он не передает ID вместе с запросами и прекращает запросы после первого набранного слова, поэтому суммарно генерирует всего 4 запроса.

Лучше всего показал себя браузер Brave, который по умолчанию отключает автозаполнение и вообще не передает никаких запросов, когда пользователь вводит текст в адресную строку.

Разумеется, открытым остается вопрос, как именно компании используют полученные таким образом данные, и как меняется ситуация, если пользователь авторизуется в браузере, чтобы пользоваться синхронизацией закладок и истории на разных устройствах.

Пока исследование Лейта прокомментировали только представители Mozilla. В организации сообщили, что история просмотров пользователя передается на серверы в Mozilla только в том случае, если пользователь включил службу синхронизации. При этом данные синхронизации полностью зашифрованы и сотрудники не имеют к ним доступа.

«Firefox собирает некоторые технические данные о том, как пользователи взаимодействуют с нашим продуктом, но это не относится к истории посещений. Данные передаются вместе с уникальным, случайно сгенерированным идентификатором. IP-адреса хранятся в течение короткого периода времени для обеспечения безопасности и обнаружения злоупотреблений, а после удаляются. Они отделены от данных телеметрии и не используются для сравнения активности пользователей во время различных сессий», — уверяют разработчики Firefox.
Источник

Similar threads