在过去十年中,许多浏览器都抓住机会,提供注重隐私的浏览体验。Brave就是其中之一。
Brave 的创始人是Brendan Eich ,他曾是Mozilla 基金会的首席技术官,也是流行编程语言 JavaScript 的创造者。Brave 适用于桌面和移动设备,不仅注重隐私,还配备了内置加密钱包、VPN,以及与其广告网络互动的奖励(以加密货币 BAT提供) 。它也是少数支持 IPFS 的浏览器之一。
在本文中,您将了解 Brave 的众多隐私和安全功能以及它的不足之处。
隐私是 Brave 的核心基础,因此它配备了大量隐私功能也就不足为奇了。许多反跟踪功能都是Brave Shields的一部分,但该浏览器还配备了 deAMPing、私人窗口和内置 VPN(需订阅)。
Brave 将其大部分隐私功能归类为 Shields。Shields 是一套防止网站跟踪您的技术,它充当视觉标识符,向用户显示他们正在安全浏览。
基于存储的跟踪
传统上,Brave 会阻止所有第三方 cookie 和其他类型的存储。它阻止唯一标识符被保存并传输到用户访问的网站以外的域。
然而,完全阻止第三方访问存储通常会导致网站崩溃。为此,Brave 率先推出了临时站点存储,该存储可在各种情况下对来自第三方上下文的数据进行分区。由于第三方为每个顶级网站获得不同的存储区域,因此临时站点存储可防止跨站点跟踪。
例如,news.com 从 tracker.com 加载脚本、cookie 和其他数据时,这些数据将与 gossip.com 从 tracker.com 加载脚本时的数据分开保存。结果是:当用户访问 news.com和gossip.com 时,tracker.com 将无法将用户在这些网站上的行为合并为一个配置文件。
当您关闭网站或重新启动浏览器时,这些分区也会自动清除。
没有其他浏览器能与 Brave 的分区范围相匹配,它不仅包括 cookie 和存储 API,还包括各种缓存和本地数据库。
基于导航的跟踪
许多科技巨头使用跟踪查询字符串参数来跨网站识别用户。
例如,谷歌、Facebook 和微软分别向离开其生态系统的(付费)链接添加了gclid、fbclid和msclkid参数。当用户到达目的地时,这些科技公司的第三方脚本会处理这些参数并成功识别用户。
Brave 通过在发送 HTTP 请求之前阻止已知跟踪参数列表并将其从 URL 中删除来对抗这种做法。
类似的方法称为跳出跟踪,通常用于联盟计划。组织会在用户进入其目标网站之前插入第三方重定向,以便重定向提供商知道用户访问了哪些网站。例如,当用户点击指向 smartphone.com 的链接时,他们首先被重定向到 tracker.com,然后再进入 smartphone.com 上的目标页面。这样,tracker.com 就可以证明用户确实点击了该链接。
Brave会立即将用户发送到最终目标页面,从而消除这些重定向。
移除引荐来源
最初,Brave 完全删除了 HTTP 请求附带的 referrer 信息。然而,网络爬虫和其他类型的机器人通常也会删除这些信息。结果导致一些网站屏蔽了 Brave 用户。
自 2021 年以来,Brave 一直使用strict-origin-when-cross-origin referrer 策略,大多数现代浏览器都采用该策略。它比最初的方法安全性较低 — 在某些罕见情况下,URL 中的某些私人数据可能会与第三方共享。不过,新方法不会导致阻塞。
加速移动页面(AMP)框架可压缩图片和脚本,以加快网站加载速度。然而,要让 AMP 发挥作用,网站所有者必须与 Google 生态系统整合,这让这家科技巨头有更多机会在网络上跟踪用户。
因此,Brave 会阻止 AMP 版本的网站,而是将用户重定向到网页的规范版本。
与当今大多数浏览器一样,Brave 带有隐身模式,该模式不会存储任何搜索历史记录或与您访问的网站共享任何存储的数据。
然而,Brave 附带了隐身模式的下一代版本,称为“带有 Tor 的私人窗口”。
如果你以这种方式浏览,你将通过Tor 网络中的三个设备进行连接,该网络由注重隐私的志愿者运营。第一个知道连接来自哪里,第三个知道连接去往哪里,第二个位于中间,以防止其他两个互相通信。
然而,使用 Tor 有两个缺点。网站加载速度会慢很多,因为连接需要多次重新路由。此外,网站上的许多机器人防护机制会不断要求您证明自己是人类,否则会完全阻止您的访问。
Brave VPN 是一款内置的订阅式工具,可加密所有流量,以便互联网服务提供商无法看到您的流量或识别您访问的网站。Brave VPN 还会对您访问的网站隐藏您的真实 IP 地址,以便他们无法通过您的互联网连接识别您。
此外,Brave 的 VPN 还配有防火墙,可阻止已知的跟踪器域,以防止您的设备与它们交互。如果临时站点存储对您来说不够私密,防火墙将阻止某些服务器访问它。
与大多数浏览器不同,Brave 没有将 Google 作为其默认搜索引擎。相反,它使用 Brave Search。
与使用 Google 或 Yahoo 第三方搜索索引的 Ecosia 等搜索引擎不同,Brave Search 是从头开始构建的。虽然它有自己的广告网络,但不会存储您的浏览行为以进行分析和营销细分。
除了确保隐私之外,Brave 还配备了一系列技术来防止您遭受网络钓鱼或安装恶意软件。
默认情况下,Brave 会将所有连接升级到 HTTPS,并且只有当网站无法使用 HTTPS 时才会恢复到 HTTP。
可以通过严格 HTTPS 升级模式使此行为更加严格。如果启用此设置,当您访问不安全的网站时,Brave 会向您发出警告,并且只有在您批准的情况下才会发出请求。
如果您使用 Tor 通过私人窗口浏览,则默认启用严格行为。
Brave 使用 Google 安全浏览功能来识别已知会诱骗用户或托管恶意软件的网站。它还会阻止您下载潜在危险的软件,并阻止您安装已知违反政策的浏览器扩展程序。
Brave 通过在浏览器中保留恶意网站记录来增强 Google 安全浏览功能,这大大限制了验证请求的数量,并且不需要向 Google 托管的服务器发送请求。最后,为了确保隐私,安全浏览请求会通过代理服务器,从而阻止托管恶意网站列表的服务器查看您的 IP 地址。
自从浏览器、操作系统和扩展程序开始阻止网站通过 cookie 和其他基于存储的技术追踪其用户以来,网站就需要其他技术来防止网络钓鱼和其他欺诈行为、强制执行付费墙并防止帐户共享。
其中一种技术称为浏览器指纹识别,它收集各种数据点来识别用户的设备。虽然这些数据点单独使用时并不唯一,但将它们组合起来可以为您提供唯一的标识符。即使是像 Piwik PRO 这样注重隐私的跟踪软件也会使用某种设备指纹识别。
反过来,浏览器也试图阻止浏览器指纹识别。虽然许多其他浏览器使用隐私预算来做到这一点,但 Brave 通过以下三件事来防止指纹识别:
Brave 默认禁用多个数据点(例如 WebGL、Canvas 和 Web Audio),以便网站访问者无法访问这些数据点。
作为其一套名为“Shields”的机制的一部分,Brave 可以防止网站加载已知的指纹脚本。
Brave 使用一种称为farbling的技术,在多个数据点(例如浏览器语言和用户代理字符串)中注入会话级随机噪声。这意味着每次用户访问网站时,他们都会获得该网站略有不同的指纹。
Brave 采用了业内许多隐私和安全功能的最佳实践,并在此基础上添加了更多功能:基于导航的跟踪、farbling 和内置 VPN。尽管 Brave 存在一些臭名昭著的失误,但它在隐私领域拥有一批忠实的用户。
如果您想在您的网站上识别 Brave 用户,请考虑使用Fingerprint。Fingerprint可准确识别来自受支持浏览器的高达 99.5% 的流量,其中包括 Chrome、Safari、Edge、Firefox 和Brave等热门浏览器。