PrivacyTests.org 是一项开源计划,它会对流行的网络浏览器进行一套自动化的测试。这些测试旨在以公正的方式审核网络浏览器的隐私属性。测试的结果是公开的,以帮助注重隐私保护的用户对使用哪种浏览器做出更加明智的选择,并鼓励浏览器制造商改善这些隐私数据的泄露。
近日 PrivacyTests.org 基于目前市面上主流的 10 款浏览器又进行了一次隐私保护测试,参与测试的浏览器和浏览器对应版本分别为:Brave 1.34、Chrome 97、Edge 97、Firefox 95、Librewolf 95、Opera 82、Safari 15.1、Tor 11、Ungoogled 96、Vivaldi 5。
网络浏览器的一个常见隐私漏洞是它们允许追踪公司用一些能识别用户的 “State” 来标记浏览器。当第三方跟踪器嵌入网站时,他们可以在你浏览不同网站时看到这些识别数据。这类泄漏可以通过分割存储在浏览器中的所有数据来解决,这样网站之间就不会有数据共享。而首先进行的 State Partitioning 测试也正是针对这个常见情形进行的。
State Partitioning 测试
State Partitioning 测试共有 22 个小项,其中 Librewolf 和 Tor 表现最好,在 22 个小项中仅有一项未通过测试;其中 Librewolf 未通过 blob 测试(blob URL 是对一些原始数据的本地引用,追踪器可以使用 blob URL 在网站之间共享数据),而 Tor 未通过 font cache 测试(网络字体有时被存储在自己的缓存中,这很容易被滥用于跨站追踪);紧随它们后面的分别是 Brave(4 项未通过)、Safari(4 项未通过)和 Firefox(8 项未通过);表现最差的当属 Chrome 和 Edge,在 22 项测试中仅通过了 6 项。
Navigation 测试
当你点击超链接将浏览器从一个网站导航到另一个网站时,某些浏览器 APl 允许第一个网站与第二个网站进行通信。这个隐私漏洞可以通过对网站之间的数据传输引入新的限制来解决。
这个测试环节中分为 3 个小项,Librewolf 表现依然最好,通过了其中的两项测试,没有通过的 document.referrer 测试本质上也是一种浏览器用来让网站知道用户从哪里访问的一种机制。
Brave、Firefox、Safari、Tor 和 Ungoogled 位列第二梯队,通过了一项测试;而 Chrome、Edge、Opera 和 Vivaldi 表现最差,三项测试全部失败。
HTTPS 测试
HTTPS 是网络浏览器用来安全地连接网站的协议。当使用 HTTPS 时连接是加密的,因此网络上的第三方无法读取服务器和你的浏览器之间发送的内容。
HTTPS 测试共分为 5 小项,Librewolf 一骑绝尘,通过了全部测试;其次是 Tor,通过了 3 项测试;在这个环节中表现最差的反而是一向在强调隐私保护的 Firefox 和 Safari,两者都仅通过了 Upgradable script,这是一个检查浏览器是否尽可能地尝试将脚本的不安全地址升级为 HTTPS 的项目。
Fingerprinting 拦截测试
Fingerprinting 就是我们常说的浏览器指纹,是一种用户识别技术。指纹脚本将测量你的浏览器的几个特征,结合这些特征数据建立一个指纹,从而可以在网络用户中精准地识别出你。浏览器通常可以最大限度地减少网络 APl 所披露的识别信息,达到保护用户隐私的目的。
这个环节中,Librewolf 和 Tor 通过全部测试;Safari 通过了 System font detection 这一项测试,这是一个可以检测网页是否可以获取用户系统上安装字体的存在。各种字体的存在与否也可以被用来对用户进行识别。
除了上述三款浏览器,其他所有浏览器都没能通过其中的任何一项测试。
追踪查询参数测试
当你从一个网页浏览到另一个网页时,追踪器通常会在第二个网页的地址上附加一个追踪查询参数。该查询参数包含一个独特的标识符,在你浏览网页时单独跟踪你。而这些查询参数经常与 cookies 同步,使其成为一个强大的追踪载体。网络浏览器可以通过在你的浏览器发送网址之前将其从网址中剥离来保护你免受已知跟踪查询参数的影响。
该环节共有 24 个测试项目,Brave 通过了 22 项测试,其他浏览器无一幸免于难,没能通过任何测试。
追踪器内容拦截测试
当你访问一个网页时,网页经常有第三方嵌入的跟踪内容,如脚本和跟踪像素。这个环节会检查浏览器是否阻止了 20 个最大的跟踪器的内容。
该环节仅有 Brave 和 Librewolf 通过了全部测试,其他浏览器未能阻止 20 个追踪器中的任何一个。
其他测试
这个测试主要目的是检查各种隐私功能是否存在,其中需要注意的是 Stream isolation,这是一个使用 Tor 浏览器为每个顶级网站使用不同的 Tor Circuit 的隐私功能,在参与测试的所有浏览器中也只有 Tor 具备这个功能。
如果不考虑 Stream isolation 这种 Tor “独占” 的功能,在这个环节中 Brave 和 Tor 表现最好,具备其中的两项隐私功能;除此之外,其他浏览器均不具备上述这些隐私功能。
纵观全部测试环节可以看出,Librewolf 是 10 款浏览器中综合表现最为出色的浏览器,虽然也会遇到在「追踪查询参数测试」中全部失败的尴尬局面,但瑕不掩瑜。而 Chrome 和 Edge 则是表现最差的浏览器了,它们在「追踪器内容拦截测试」、「追踪查询参数测试」和「Fingerprinting 拦截测试」等多项测试中全部失败,部分测试环节也只能通过几个小项目。
可能很多读者对于 Librewolf 浏览器并不是十分了解,这里简要介绍一下它。LibreWolf 是 Firefox 的一个独立分支,其主要目标是隐私、安全和用户自由。LibreWolf 在 Firefox 的基础之上增加了对跟踪和指纹技术的保护,同时也包括一些安全方面的改进。
完整的测试报告和更多详细数据可查看 PrivacyTests.org 官网。