Google Chrome è uno dei browser più utilizzati al mondo (secondo alcune statistiche è al primo posto), ma questo non per forza significa che sia il più sicuro o funzionalmente migliore degli altri. Tra tutti gli aspetti che potremmo evidenziare vogliamo soffermarci su quello che, a nostro avviso, è quello principale ovvero la Privacy di chi lo usa e come il Browser la gestisce.
Per rendere le cose più semplici e per avere riscontro pratico delle differenze con altri Browser lo abbiamo confrontato con Brave. Brave è un Browser che fa della Privacy e della NON tracciabilità la sua “Mission” fin dal 2015, nasce da Brave Software Inc. una società indipendente con sede in Nord America con personale (e utenti) in tutto il mondo. Non ha una società madre o un supervisore Big Tech, il che significa che non è legata a nessuno (ulteriori info nella loro pagina about). Il suo unico obiettivo è quello di costruire un Internet migliore per le persone che lo usano, cioè di costruire un Web a misura di utente.
Google è l’emblema delle aziende “Big Tech” ed una delle aziende di maggior valore al mondo. Sebbene molti pensino a Google come alla scatola magica od al risolutore di tutte le domande, Google è prima di tutto un’azienda pubblicitaria. Un’enorme percentuale dei suoi miliardi di entrate annuali proviene dalla vendita di annunci pubblicitari. Per alimentare tali annunci oltre ad altri stumenti di proprietà utilizzano il browser Chrome (e il motore di ricerca Google) per raccogliere quanti più dati possibili sugli utenti. Quindi “monetizzano” questi dati sotto forma di annunci altamente mirati. Più cose sanno di voi, più soldi fanno.
Brave ha una sua repository su Github totalmente trasparente e soprattutto pubblica dove chiunque può trarre informazioni sia funzionali sia di comportamento. Per comprendere meglio le differenze va detto che entrambi i Browser sono Chromium * based un progetto Open Source (significa che il codice sorgente di un progetto è accessibile a chiunque e che può essere modificato o personalizzato a seconda delle proprie esigenze o progetti). Chromium Repo su Github.
* Chromium è utiizzato anche da Edge, Opera, e Vivaldi
Partiamo proprio da qui e basta leggere l’elenco di quello che è stato modificato ed in alcuni casi eliminato da Brave rispetto a Chrome. Usare lo stesso codice sorgente può avere risultati diametralmente opposti.
Quali funzioni di Chromium vengono rimosse da Brave per motivi di privacy/sicurezza?:
Completamente rimosse:
L’integrazione degli account Google (“GAIA”) viene disattivata
Tutte le funzioni che inviano dati a Google sono rimosse dalle impostazioni.
Il prefetching DNS è disabilitato
Chrome Google URL Tracker è disattivato
L’affidabilità del servizio di dominio è disabilitata
Le estensioni in linea sono disabilitate
La sincronizzazione in background è disabilitata
L’attributo ping dei collegamenti ipertestuali è disabilitato
Disabilitare l’API WebBluetooth
Il caricamento del log di debug di WebRTC è disabilitato
Il caricamento delle impostazioni dopo il ripristino del profilo è disabilitato
Il recupero delle impostazioni predefinite OEM dopo la reimpostazione del profilo è disabilitato
Il caricamento del registro degli arresti anomali del tracciamento è disabilitato
Google Cloud Messaging è disabilitato
Firebase Cloud Messaging è disabilitato
Gli aggiornamenti dei canali push client sono disabilitati
Il tracker del tempo di rete è disabilitato
La normalizzazione degli indirizzi assistita da Google è disabilitata
Specifiche funzionalità sono disabilitate all’avvio tramite la CLI (cercare disabled_features)
Rimuovere il repository dl.google.com dai pacchetti Linux
Disabilita il reporting delle metriche
Disabilitare i suggerimenti di navigazione per gli URL simili a quelli di Google
Disabilitare gli osservatori e le API di segnalazione
Disabilitare lo scorrimento verso il frammento di testo
Disabilitare i sensori di movimento
Disabilita navigator.credentials
Disabilita integrazione Android OTP
Disabilita SXG
Disabilitare NFC
Disabilita WebBundle
Disabilita i suggerimenti del cliente (lang)
Disabilita i socket diretti / grezzi
Disabilita il rilevamento dell’inattività
Disabilita i trigger di notifica
Disabilitare l’API del file system
Disabilita l’API dei beni digitali
Disabilita API seriale
Disabilita l’apprendimento federato delle coorti (FLoC)
Disabilita API Informazioni di rete
Audit SCT
Fetcher di affiliazione al sito (parte del gestore di password)
Disattiva kOptimizationGuideFetchingForSRP
Disabilita l’integrità dell’ambiente Web
Servizi sotto Proxy (comunicazione di rete che usa un Proxy per nascondere ed anonimizzare il contenuto) attraverso i server Brave Google non riceve alcuna informazione su quale client stia eseguendo queste richieste (nemmeno il vostro indirizzo IP).
Le richieste di SafeBrowsing sono Proxied
Le richieste di geolocalizzazione sono Proxied
Gli aggiornamenti dei plugin sono Proxied
Le richieste di revoca dei certificati sono Proxied
Le richieste di CRLSet sono Proxied
Le richieste di aggiornamento dei componenti sono Proxied
Le richieste di dizionari per il controllo ortografico sono Proxied
Hanno una durata massima di 7 giorni se impostati tramite Javascript e di 6 mesi se impostati tramite un’intestazione HTTP.
I cookie di sessione vengono ripuliti al riavvio se è attiva la modalità “Continua da dove hai lasciato” (che è predefinita in Brave).
I cookie di terze parti sono sempre bloccati a livello di intestazione HTTP, ma diamo accesso a JavaScript alla memoria effimera partizionata per le pagine.
Altro:
L’API della batteria restituisce sempre un valore fisso.
I valori dei referrer sono limitati a strict-origin-when-cross-origin e possono essere rafforzati solo dalla politica sui referrer, non indeboliti. Inoltre, le richieste cross-origin da un servizio .onion hanno un’intestazione Referrer vuota e un’intestazione Origin nulla, proprio come il Tor Browser.
Le voci .onion vengono sostituite con “null” in document.location.ancestorOrigins(), a meno che tali voci non abbiano la stessa origine del frame più interno.
Il router multimediale (Chromecast) è disattivato per impostazione predefinita su Desktop. È possibile attivarlo selezionando l’interruttore in brave://settings.
Le ricerche remote di protezione dei download omettono URL e nomi di file.
Fare in modo che StorageManager.estimate riporti un valore fisso.
Per molte funzioni è stata aggiunta la casualità o sono stati generalizzati i valori come difesa contro il fingerprinting, tra cui:
Metodi di readback della rete
enumeraDispositivi
Serializzazione dell’audio web
Debug di WebGL
Plugin
hardwareConcurrency
dispositivoMemoria
L’elenco dei nomi di host con certificati CA appuntati è stato sostituito con uno specifico per Brave.
Ripristino del requisito dei gesti per l’accesso async alla scrittura degli appunti
Gli avvisi sui download pericolosi vengono sempre mostrati quando la Navigazione sicura è disattivata, ma per gli utenti avanzati è disponibile un flag per disattivare gli avvisi.
La funzionalità del pannello laterale di Chromium è stata fusa nella barra laterale di Brave.
L’API seriale Web è disattivata, ma per gli utenti avanzati è disponibile un flag per attivarla.
Una panoramica delle Funzionalità inserite in Brave di default che mancano o sono parzialmente implementate in Google Chrome
Ecco perchè l’uso di Brave anzichè Chrome può cambiare le abitudini e migliorare l’esperienza di navigazione e visualizzazione dei siti, con l’aggiunta di una protezione della propria Privacy estremamente efficace. Abbiamo già scritto di come ad un buon Browser vada associato un Motore di ricerca consono alle sue caratteristiche, a volte cambiare abitudini porta ad un sostanziale miglioramento.