浏览器排名_你的浏览器安全吗？主流浏览器的隐私级别排名

原文来自ars Technica，作者Dan Goodin

原文链接：https://arstechnica.com/information-technology/2020/03/study-ranks-edges-default-privacy-settings-the-lowest-of-all-major-browsers/

最近发表的一项研究比较了主要浏览器收集的用户信息，其中，Microsoft Edge隐私等级最低。Yandex是Russian Web网络搜索供应商Yandex开发的一款浏览器，人气不高，隐私保护方面与Edge平分秋色。相比之下，Brave浏览器将隐私放在首位，获得最高排名，可谓黑马。

此次排名来自都柏林三一学院计算机科学家道格·莱思发表的研究论文。他分析并评估了Google Chrome、Mozilla Firefox、Apple Safari、Brave、Edge和Yandex的隐私性能。

具体来说，该研究检查了浏览器的数据发送，包括唯一识别码和与键入URL相关的详细信息，这些信息可用于长期跟踪用户。调查结果将浏览器分为三类，其中Brave排名最高，Chrome、Firefox和Safari获得中等排名，Edge和Yandex落后于其他浏览器。

莱思在论文中写道：

“从隐私的角度来看，Microsoft Edge和Yandex与其他浏览器不同。两者皆可发送可用于将请求(以及关联的IP地址/位置)链接到后端服务器的永久性识别码。Edge还将硬件的通用唯一识别码(UUID)发送给Microsoft，而Yandex也会相似地将硬件识别码发送给后端服务器。据我们所知，用户无法禁用该行为。除了共享已访问网页详细信息的自动完成搜索功能之外，这两种传输方式都将网页信息发送到与自动完成搜索无关的服务器。”

强大而持久的识别码

研究发现，Edge和Yandex都发送与设备硬件相关的识别码。这些独特的字符串可以链接在同一设备上运行的各种App，即使在全新安装浏览器之后也可以保持相同。Edge将设备的UUID发送到位于self.events.data.microsoft.com上的Microsoft服务器。

此识别码不易更改或删除。研究人员说，Edge浏览器的自动完成功能无法禁用，也就是无法禁止将自动键入站点的详细信息发送到后端服务器。

同时，Yandex通过自动完成功能收集了MAC硬件地址和访问过的网站的详细信息，尽管后者可以被禁用。Edge和Yandex会收集与运行浏览器的硬件连接的识别码，因此该数据在新安装的浏览器中会保留下来，并且还可用于链接同一设备上运行的各种App。这些识别码随后可用于长期跟踪IP地址。

“将设备识别码传输到后端服务器显然最令人担忧，因为识别码强大而持久，可以随意重新生成，包括其他App(因此同一制造商的App之间的数据可以连接)，并且用户不能轻易更改或重置。”该研究文章警告说。

Microsoft的一位代表给出了答复，但要求匿名，而且我们不得直接引用该回复。至于为何如此要求，我们不得而知。这位代表说，Edge要求获得收集用于改进产品的诊断数据的许可。她说这类收集可以取消，尽管数据“可能”包含有关已访问网站的信息，但不会储存在用户的Microsoft帐户中。

浏览器同步

用户登录到Edge后可以同步其浏览器历史记录，以便在其他设备上使用。用户可以在位于privacy.microsoft.com的隐私面板上查看和删除历史记录。Microsoft的Defender SmartScreen是Windows 10系统的一项功能，可防止网络钓鱼和恶意软件网站以及下载潜在的恶意文件，它通过检查用户打算访问的URL来工作。可以通过Edge的隐私和服务设置禁用此默认功能。

唯一识别码使Edge用户可以单击一下以删除存储在Microsoft服务器上的关联诊断数据。

与此相反的是排名最高的Brave。研究发现，Brave的默认设置提供了最大的私密性，没有识别码集合，无法随时跟踪IP地址，也没有共享后端服务器访问的网页的详细信息。

中游浏览器

Chrome、Firefox和Safari属于中间类别。当键入URL时，这三种浏览器中的自动完成功能都会实时传输所访问站点的详细信息。但是，可以禁用这些默认设置。其他可能破坏隐私的行为包括：

Chrome：发送一个永久性识别码以及网站地址，允许两者互相链接。

Firefox：遥测传输中包含识别码，这些识别码可以随着时间的推移产生链接(遥测功能默认启用，但可以禁用)。Firefox还为推送通知打开了一个永久的websocket网络传输协议。研究人员说，该协议可以链接到一个唯一的识别码，并且有可能被用于不易被禁用的跟踪。

Safari：默认为一个初始页面，该页面可以将信息泄露给“多个第三方”，后者可以将包含识别码的页面预加载到浏览器缓存中。而且，相关联的iCloud进程建立了包含识别码的连接。

Apple官方拒绝对此报告置评，但的确指出，Safari默认提供对第三方Cookie的阻止和名为“智能跟踪阻止”的补充功能，这两者都限制了第三方网站获得有关用户的信息。

Mozilla在一份官方声明中写道：

“浏览历史记录仅在用户打开我们的Sync服务(其目的是在用户设备之间共享数据)时才发送到Mozilla。与其他浏览器不同，同步数据是端到端加密的，因此Mozilla无法访问它。

Firefox确实收集了一些有关用户如何与我们的产品进行交互的技术数据，但这不包括用户的浏览历史记录。该数据与随机生成的唯一识别码一起传输。用户的IP地址会保留一小段时间，用于安全和欺诈检测，然后删除。它们都已从遥测数据中删除，并且不用于在浏览会话中关联用户活动。

正如研究本身所指出的那样，‘将用户数据传输到后端服务器本质上不是隐私入侵。’通过限制数据的收集和保留，以及通过加密和匿名的方式保护用户与我们共享的数据，Firefox致力于保护用户隐私并提供安全的浏览体验。清晰、公开的做法和流程进一步证明，我们将用户需求放在首位。”

Google代表尚未置评。该研究分析的浏览器版本是：Chrome 80.0.3987.87，Firefox 73.0，Brave 1.3.115，Safari 13.0.3，Edge 80.0.361.48和Yandex 20.2.0.1145。

正如Apple指出的那样，该研究从狭窄的角度看待了浏览器的安全性，因为它没有考虑阻止第三方跟踪的功能。尽管如此，本文仍然很好地说明了为什么用户会使用Edge，而Chrome、Firefox和Safari的用户可能希望禁用网站自动完成功能，但我从未觉得该设置有任何效果。Microsoft的上述回应也提供了阻止其他数据传输的方法。虽然浏览器增强的安全措施可以抵御攻击，但优先考虑隐私的用户应考虑禁用默认行为或使用其他浏览器。