Одна из главных целей “Brave” — улучшить конфиденциальность в Интернете. В том числе и при использовании технологии “Client-Hints”. Для того, чтобы каждый мог пользоваться Интернетом и взаимодействовать с ним, защищая свою личную информацию.
Содержание:
- Что такое “Client Hints”?
- Конфиденциальность с предложением “Client-Hints”
- Положительные стороны “Client-Hints”
- “Bravе” и конфиденциальность
Основной способ, который “Brave” использует заключается в создании широкого спектра средств защиты конфиденциальности. Они по умолчанию включены в браузеры на всех поддерживаемых ПК платформах.
Второй способ, с помощью которого “Brave” работает над улучшением конфиденциальности в Интернете, — использование веб-стандартов. К примеру, “Brave” выступает за конфиденциальность в нескольких комитетах “W3C”. Наиболее значимыми из них является “PING”. Также можно отметить “Privacy Interest Group”. Как часть “PING”, “Brave” работает над тем, чтобы новые веб-стандарты не создавали новые риски для конфиденциальности пользователей “Brave” или веб-пользователей в целом.
В этом посте обсуждаются новый предлагаемый веб-стандарт — “Client Hints”. Также рассмотрим причины беспокойства со стороны “Brave”. И чем он наносит ущерб конфиденциальности в Интернете.Что такое “Client Hints”?
“Client-Hints” — это новый стандарт для HTTP-коммуникаций. Он имеет аспекты, которые влияют как на HTTP, так и на Web API. Соответственно поэтому разные части рассматриваются в разных отделах стандартизации (т. е. IETF и W3C соответственно).
[su_table responsive="yes" fixed="yes"]На высоком уровне предложение “Client-Hints” состоит из трех частей
1. Соглашение для заголовков HTTP, которое браузеры обычно могут использовать, чтобы сообщить серверу о браузере 2. Система для описания того, когда браузер должен отправлять различные значения в заголовках “Client-Hint” 3. Определения начальных “подсказок” или значений, которые браузер должен отправлять на сервер [/su_table]
В корне “Client-Hints” — это стандарт, который позволяет серверам отправлять клиентам запрос информации о браузере. А браузеру — отвечать (через заголовок HTTP) запрошенными значениями. Примеры таких значений “Client Hint” включают высоту и ширину области просмотра браузера (грубо говоря, окно браузера), объем памяти на клиентском устройстве и глубину пикселей дисплея пользователя, среди прочего.
Согласно данному предложению, “Client-Hints” автоматически не отправляются на все домены. Они согласны с “политикой” сервера. Это означает, что браузер не будет отправлять значения, если только сервер их не запрашивает. А должен предоставлять их при его запросе. Первый домен пользователя (сайт, на который вы заходили) также может указывать, что клиент должен отправлять запрошенные значения подсказок клиента некоторым или всем третьим сторонам, участвующим на странице.
Существуют дополнительные предлагаемые правила для отправки значений “Client-Hints”, включая то, что клиенты должны отправлять их только через безопасные соединения TLS, чтобы не было отправок, когда браузер отключил “JavaScript”, и что клиенты должны избегать отправки, когда эти данные в противном случае недоступны через “JavaScript”, HTML или CSS.
Конфиденциальность с предложением “Client-Hints”
“Brave” обеспокоен тем, что предложение “Client-Hints” может нанести ущерб конфиденциальности в Интернете тремя способами:
1. “Client-Hints” передает личные данные серверам доп. способами
Браузер “Brave”, наряду с другими инструментами конфиденциальности и браузерами, делает все возможное, чтобы веб-сайты не могли отслеживать и идентифицировать вас без вашего согласия. Предыдущие исследования и организации отметили, что значения, передаваемые через “Client-Hints”, могут использоваться для идентификации и отслеживания интернет-пользователей с поразительно высокой точностью. Например, “Eckersley” (2010) обнаружил, что разрешение экрана является высокоопределяемым. А “Laperdrix et al” (2016) обнаружил, что глубина цвета устройства (наряду с разрешением экрана) также является высокоопределяемой.
“Brave” работает над тем, чтобы веб-сайты не изучали многие из этих данных, используя “JavaScript”. И в то же время, чтобы не ломали веб-сайты. Добавление “Client-Hints” в платформу браузера предоставит дополнительный метод отслеживания для блокировки. Или же, возможно, еще более затруднит поддержание работоспособной частной сети.
2. “Client-Hints” позволяет третьим лицам отслеживать вас
“Client-Hints” предоставляет идентифицирующие данные сторонам, которые в настоящее время не могут получить к ним доступ без активного ввода скриптов. Это правдиво по двум причинам.
Во-первых, “Client-Hints” позволяет первой стороне информировать браузер как отправлять идентифицирующие данные (отпечатанные значения) третьим сторонам с помощью процесса, называемого сторонним делегированием. В настоящее время, когда сайт ссылается на изображение на стороннем домене, эта третья сторона не может определить эти идентифицирующие значения (высота и ширина браузера, глубина отображения и т. Д.). При помощи “Client-Hints” первая сторона может поручить вашему браузеру отправлять эти идентифицирующие данные третьим сторонам в фоновом режиме. Это приводит к тому, что больше идентифицирующей информации передается большему количеству сторон. И при этом большинство пользователей не понимают, что происходит.
Во-вторых, “Client-Hints” облегчит дополнительный набор веб-сторон, “TLS-терминаторов” (т.е. серверов между клиентом и веб-сайтом) для отслеживания пользователей. Такие завершающие TLS мероприятия как CDN и прокси, будут иметь новый пассивный и согласованный доступ к идентифицирующей информации. В настоящее время, если сторона, завершающая TLS, хочет отследить пользователя, она должна будет использовать несколько вариантов. Либо активную атаку (например, внедрение скрипта), чтобы узнать эти идентифицирующие данные (мы ожидаем, что они незаурядные). Либо перейти к сложной и часто меняющейся эвристике в попытке извлечь эти данные из URL-адресов и файлов coоkie. Другими словами, “Client-Hints” облегчит для CDN и прокси доступ к идентифицирующей информации в тех случаях, когда в данный момент это сделать практически невозможно (в общем случае).
Необходимо подчеркнуть, что никто не обвиняет существующие CDN (или стороны с аналогичным расположением) в злых или вредоносных намерениях. Напротив, многие CDN предпринимают ценные усилия по улучшению конфиденциальности в Интернете (вот два замечательных примера — работа “Cloudflare PrivacyPass” и “CloudFlare 1.1.1.1 DNS resolver”). Но неудачный урок веб-конфиденциальности заключается в том, что системы должны быть хорошо спроектированы для защиты от веб-сторон, которые гораздо меньше заслуживают доверия и соблюдают конфиденциальность, чем хорошо известные CDN. Это такие как “Cloudflare” и “Fastly”.
3. “Client-Hints” продолжает форму нарушений конфиденц. в онлайне
Некоторые сторонники “Client-Hints” защищают это предложение. Фактически они заявляют, что оно ничуть не хуже того, что уже существует. А именно, что серверы/сайты не получают дополнительных отпечатков пальцев через “Client-Hints”, к которым они уже не могут получить доступ. Что касается конфиденциальности, мы считаем, что это слишком низкий уровень.
“Bravе” среди других сторон в Интернете усердно работает над улучшением конфиденциальности в Интернете. И также над решением существующих сегодня проблем. Даже если бы все “Client-Hints” отправляли информацию по каким кнопкам и в какой последовательности нажимали кнопки на клавиатуре, то это все равно бы указывало на наш дальнейший технический долг, который нам в сообществе по обеспечению конфиденциальности необходимо погасить.
Иными словами, когда вы обнаружили, что копаете себе яму, первое, что нужно сделать, это перестать копать. Интернет уже сейчас в изобилии сложных проблем конфиденциальности. И “Client-Hints” только поспособствует дальнейшим действиям в этом направлении.
Положительные стороны "Client Hints”
Необходимо отметить, что в предложении “Client-Hints” есть некоторые аспекты, которым мы не противостоим. Или даже думаем, что это может быть положительным моментом для Интернета. Ранее упомянутый пример перемещения HTTP-заголовка “User-Agent” в клиентскую подсказку является одним из таких примеров, где в сочетании с удалением собственности “Navigator.userAgent”, “Client-Hints” может быть полезен для улучшения конфиденциальности в Интернете. (Удаление “User-Agent” потребует длительных усилий среди всех браузеров и поддерживаемых веб-сайтов и сервисов.) Однако в настоящее время большинство предлагаемых данных, используемых в “Client-Hints”, наносят ущерб конфиденциальности. И поэтому мы негативно относимся к предложению в целом.
Кроме того, мы поддерживаем общую цель предложения “Client-Hints” — повысить производительность в Интернете. “Brave” не думает, что потенциальные улучшения производительности в предложении стоят риска для конфиденциальности в Интернете. Но мы приветствуем и ценим то, что авторы “Client-Hints” работают над достижением важной и ценной задачи.
“Bravе” и конфиденциальность
Конфиденциальность является основной частью “Brave”. Это важно как для пользователей “Brave”, так и для Интернета в целом. “Brave” защищает конфиденциальность пользователей разными способами. Например блокирует ресурсы, о которых известно, что они связаны с отслеживанием. По умолчанию блокирует сторонние файлы coоkie и настройки хранения. И также предотвращает доступ веб-сайтов к методам Web API, используемым для отслеживания последовательности нажатия вами кнопок на клавиатуре. “Bravе” разрабатывает средства защиты, аналогичные тем видам вреда конфиденциальности, которые обсуждаются в этом посте. Это такие как отправка идентифицирующих данных в HTTP-заголовках “Client-Hint”. И, где это возможно, предотвращение доступа веб-сайтов к тем же значениям через “JavaScript”).
Команда “Bravе” с нетерпением ждет продолжения работы по обеспечению конфиденциальности их пользователей в Интернете, предоставления пользователям первостепенного права собственности и контроля над своими данными, а также по-прежнему пытается улучшить конфиденциальность в Интернете в целом с помощью их работы над стандартами.
Кстати скачав браузер Brave, Вы можете бесплатно получить токены BAT. Токены затем можно вывести через биткоин обменник, выбрав соответствующее направление обмена.
Кроме вывода BAT, Вы также можете купить биткоин по выгодному курсу. А участвуя в программе лояльности Вы можете собирать биткоины и улучшать ими курс до 10% по обменам.Рекомендованные статьи:
Как бесплатно получить токены BAT
15.05.2019
