Google Chrome è uno dei browser più utilizzati al mondo (secondo alcune statistiche è al primo posto), ma questo non per forza significa che sia il più sicuro o funzionalmente migliore degli altri.
Tra tutti gli aspetti che potremmo evidenziare vogliamo soffermarci su quello che, a nostro avviso, è quello principale ovvero la Privacy di chi lo usa e come il Browser la gestisce.

Chrome Vs Brave

Per rendere le cose più semplici e per avere riscontro pratico delle differenze con altri Browser lo abbiamo confrontato con Brave. Brave è un Browser che fa della Privacy e della NON tracciabilità la sua “Mission” fin dal 2015, nasce da Brave Software Inc. una società indipendente con sede in Nord America con personale (e utenti) in tutto il mondo. Non ha una società madre o un supervisore Big Tech, il che significa che non è legata a nessuno (ulteriori info nella loro pagina about). Il suo unico obiettivo è quello di costruire un Internet migliore per le persone che lo usano, cioè di costruire un Web a misura di utente.

Google è l’emblema delle aziende “Big Tech” ed una delle aziende di maggior valore al mondo. Sebbene molti pensino a Google come alla scatola magica od al risolutore di tutte le domande, Google è prima di tutto un’azienda pubblicitaria. Un’enorme percentuale dei suoi miliardi di entrate annuali proviene dalla vendita di annunci pubblicitari. Per alimentare tali annunci oltre ad altri stumenti di proprietà utilizzano il browser Chrome (e il motore di ricerca Google) per raccogliere quanti più dati possibili sugli utenti. Quindi “monetizzano” questi dati sotto forma di annunci altamente mirati. Più cose sanno di voi, più soldi fanno.

Brave ha una sua repository su Github totalmente trasparente e soprattutto pubblica dove chiunque può trarre informazioni sia funzionali sia di comportamento.
Per comprendere meglio le differenze va detto che entrambi i Browser sono Chromium * based un progetto Open Source (significa che il codice sorgente di un progetto è accessibile a chiunque e che può essere modificato o personalizzato a seconda delle proprie esigenze o progetti). Chromium Repo su Github.

* Chromium è utiizzato anche da Edge, Opera, e Vivaldi

Partiamo proprio da qui e basta leggere l’elenco di quello che è stato modificato ed in alcuni casi eliminato da Brave rispetto a Chrome. Usare lo stesso codice sorgente può avere risultati diametralmente opposti.

Quali funzioni di Chromium vengono rimosse da Brave per motivi di privacy/sicurezza?:

Completamente rimosse:

  • L’integrazione degli account Google (“GAIA”) viene disattivata
  • Tutte le funzioni che inviano dati a Google sono rimosse dalle impostazioni.
  • Il prefetching DNS è disabilitato
  • Chrome Google URL Tracker è disattivato
  • L’affidabilità del servizio di dominio è disabilitata
  • Le estensioni in linea sono disabilitate
  • La sincronizzazione in background è disabilitata
  • L’attributo ping dei collegamenti ipertestuali è disabilitato
  • Disabilitare l’API WebBluetooth
  • Il caricamento del log di debug di WebRTC è disabilitato
  • Il caricamento delle impostazioni dopo il ripristino del profilo è disabilitato
  • Il recupero delle impostazioni predefinite OEM dopo la reimpostazione del profilo è disabilitato
  • Il caricamento del registro degli arresti anomali del tracciamento è disabilitato
  • Google Cloud Messaging è disabilitato
  • Firebase Cloud Messaging è disabilitato
  • Gli aggiornamenti dei canali push client sono disabilitati
  • Il tracker del tempo di rete è disabilitato
  • La normalizzazione degli indirizzi assistita da Google è disabilitata
  • Specifiche funzionalità sono disabilitate all’avvio tramite la CLI (cercare disabled_features)
  • Rimuovere il repository dl.google.com dai pacchetti Linux
  • Disabilita il reporting delle metriche
  • Disabilitare i suggerimenti di navigazione per gli URL simili a quelli di Google
  • Disabilitare gli osservatori e le API di segnalazione
  • Disabilitare lo scorrimento verso il frammento di testo
  • Disabilitare i sensori di movimento
  • Disabilita navigator.credentials
  • Disabilita integrazione Android OTP
  • Disabilita SXG
  • Disabilitare NFC
  • Disabilita WebBundle
  • Disabilita i suggerimenti del cliente (lang)
  • Disabilita i socket diretti / grezzi
  • Disabilita il rilevamento dell’inattività
  • Disabilita i trigger di notifica
  • Disabilitare l’API del file system
  • Disabilita l’API dei beni digitali
  • Disabilita API seriale
  • Disabilita l’apprendimento federato delle coorti (FLoC)
  • Disabilita API Informazioni di rete
  • Audit SCT
  • Fetcher di affiliazione al sito (parte del gestore di password)
  • Disattiva kOptimizationGuideFetchingForSRP
  • Disabilita l’integrità dell’ambiente Web

Servizi sotto Proxy (comunicazione di rete che usa un Proxy per nascondere ed anonimizzare il contenuto) attraverso i server Brave
Google non riceve alcuna informazione su quale client stia eseguendo queste richieste (nemmeno il vostro indirizzo IP).

  • Le richieste di SafeBrowsing sono Proxied
  • Le richieste di geolocalizzazione sono Proxied
  • Gli aggiornamenti dei plugin sono Proxied
  • Le richieste di revoca dei certificati sono Proxied
  • Le richieste di CRLSet sono Proxied
  • Le richieste di aggiornamento dei componenti sono Proxied
  • Le richieste di dizionari per il controllo ortografico sono Proxied
  • Le richieste in devtools sono Proxied

Endpoint delegati:

https://dl.google.com/release2/chrome_componentcrl-set
https://.gvt1.com/edgedl/release2/chrome_component/
https://.gvt1.com/edgedl/chrome/dict/.bdic
https://storage.googleapis.com/update-delta/hfnkpimlhhgieaddgfemjhofmfblmnib/.+crxd
https://safebrowsing.googleapis.com/
https://sb-ssl.google.com/
https://safebrowsing.google.com
https://ssl.gstatic.com
https://gstatic.com
https://update.googleapis.com
https://chrome-devtools-frontend.appspot.com
https://clients2.googleusercontent.com
https://clients2.google.com
https://clients4.google.com
https://chrome-devtools-frontend.appspot.com
https://accounts.google.com
https://.infura.io https://.gvt1.com/edgel/chromewebstore//
https://.gvt1.com/edgedl/release2//*
http://dl.google.com/release2//

Caratteristiche e funzionalità modificate

Cookie:

  • Hanno una durata massima di 7 giorni se impostati tramite Javascript e di 6 mesi se impostati tramite un’intestazione HTTP.
  • I cookie di sessione vengono ripuliti al riavvio se è attiva la modalità “Continua da dove hai lasciato” (che è predefinita in Brave).
  • I cookie di terze parti sono sempre bloccati a livello di intestazione HTTP, ma diamo accesso a JavaScript alla memoria effimera partizionata per le pagine.

Altro:

  • L’API della batteria restituisce sempre un valore fisso.
  • I valori dei referrer sono limitati a strict-origin-when-cross-origin e possono essere rafforzati solo dalla politica sui referrer, non indeboliti. Inoltre, le richieste cross-origin da un servizio .onion hanno un’intestazione Referrer vuota e un’intestazione Origin nulla, proprio come il Tor Browser.
  • Le voci .onion vengono sostituite con “null” in document.location.ancestorOrigins(), a meno che tali voci non abbiano la stessa origine del frame più interno.
  • Il router multimediale (Chromecast) è disattivato per impostazione predefinita su Desktop. È possibile attivarlo selezionando l’interruttore in brave://settings.
  • Le ricerche remote di protezione dei download omettono URL e nomi di file.
  • Fare in modo che StorageManager.estimate riporti un valore fisso.
  • Per molte funzioni è stata aggiunta la casualità o sono stati generalizzati i valori come difesa contro il fingerprinting, tra cui:
  • Metodi di readback della rete
  • enumeraDispositivi
  • Serializzazione dell’audio web
  • Debug di WebGL
  • Plugin
  • hardwareConcurrency
  • dispositivoMemoria
  • L’elenco dei nomi di host con certificati CA appuntati è stato sostituito con uno specifico per Brave.
  • Ripristino del requisito dei gesti per l’accesso async alla scrittura degli appunti
  • Gli avvisi sui download pericolosi vengono sempre mostrati quando la Navigazione sicura è disattivata, ma per gli utenti avanzati è disponibile un flag per disattivare gli avvisi.
  • La funzionalità del pannello laterale di Chromium è stata fusa nella barra laterale di Brave.
  • L’API seriale Web è disattivata, ma per gli utenti avanzati è disponibile un flag per attivarla.

Tutti i link alle specifiche li trovate QUI

Una panoramica delle Funzionalità inserite in Brave di default che mancano o sono parzialmente implementate in Google Chrome

Chrome features not implemented

Ecco perchè l’uso di Brave anzichè Chrome può cambiare le abitudini e migliorare l’esperienza di navigazione e visualizzazione dei siti, con l’aggiunta di una protezione della propria Privacy estremamente efficace. Abbiamo già scritto di come ad un buon Browser vada associato un Motore di ricerca consono alle sue caratteristiche, a volte cambiare abitudini porta ad un sostanziale miglioramento.

Riprendi in mano la tua Privacy con NordVPN