出品|开源中国
作者|Travis
是一项开源计划,它会对流行的网络浏览器进行一套自动化的测试。这些测试旨在以公正的方式审核网络浏览器的隐私属性。测试的结果是公开的,以帮助注重隐私保护的用户对使用哪种浏览器做出更加明智的选择,并鼓励浏览器制造商改善这些隐私数据的泄露。
近日 基于目前市面上主流的 10 款浏览器又进行了一次隐私保护测试,参与测试的浏览器和浏览器对应版本分别为:Brave 1.34、Chrome 97、Edge 97、Firefox 95、Librewolf 95、Opera 82、Safari 15.1、Tor 11、Ungoogled 96、Vivaldi 5。
网络浏览器的一个常见隐私漏洞是它们允许追踪公司用一些能识别用户的 “State” 来标记浏览器。当第三方跟踪器嵌入网站时,他们可以在你浏览不同网站时看到这些识别数据。这类泄漏可以通过分割存储在浏览器中的所有数据来解决,这样网站之间就不会有数据共享。而首先进行的 State Partitioning 测试也正是针对这个常见情形进行的。
State Partitioning 测试
State Partitioning 测试共有 22 个小项,其中 Librewolf 和 Tor 表现最好,在 22 个小项中仅有一项未通过测试;其中 Librewolf 未通过 blob 测试(blob URL 是对一些原始数据的本地引用,追踪器可以使用 blob URL 在网站之间共享数据),而 Tor 未通过 font cache 测试(网络字体有时被存储在自己的缓存中,这很容易被滥用于跨站追踪);紧随它们后面的分别是 Brave(4 项未通过)、Safari(4 项未通过)和 Firefox(8 项未通过);表现最差的当属 Chrome 和 Edge,在 22 项测试中仅通过了 6 项。
Navigation 测试
当你点击超链接将浏览器从一个网站导航到另一个网站时,某些浏览器 APl 允许第一个网站与第二个网站进行通信。这个隐私漏洞可以通过对网站之间的数据传输引入新的限制来解决。
这个测试环节中分为 3 个小项,Librewolf 表现依然最好,通过了其中的两项测试,没有通过的 document.referrer 测试本质上也是一种浏览器用来让网站知道用户从哪里访问的一种机制。
Brave、Firefox、Safari、Tor 和 Ungoogled 位列第二梯队,通过了一项测试;而 Chrome、Edge、Opera 和 Vivaldi 表现最差,三项测试全部失败。
HTTPS 测试
HTTPS 是网络浏览器用来安全地连接网站的协议。当使用 HTTPS 时连接是加密的,因此网络上的第三方无法读取服务器和你的浏览器之间发送的内容。
HTTPS 测试共分为 5 小项,Librewolf 一骑绝尘,通过了全部测试;其次是 Tor,通过了 3 项测试;在这个环节中表现最差的反而是一向在强调隐私保护的 Firefox 和 Safari,两者都仅通过了 Upgradable script,这是一个检查浏览器是否尽可能地尝试将脚本的不安全地址升级为 HTTPS 的项目。
Fingerprinting 拦截测试
