9:41
25/2/2021

Brave to szybka przeglądarka bazująca na Chrome (czy też precyzyjniej: Chromium), ale stawiająca na prywatność, a więc pozbawiona kodu “szpiegującego” od Google. Twórcy stawiają na łatwość obsługi, dzięki czemu część dodatków, jak np. adblocker, jest od razu wbudowana w przeglądarkę i prosta w obsłudze, bo ograniczająca się do naciśnięcia jednego przycisku. Z tego powodu od lat polecamy ją wszystkim mniej technicznym użytkownikom, którzy nie chcą tracić czasu na rozumienie i konfigurowanie każdego aspektu swojej przeglądarki.

Brave dodaje w kolejnych wydaniach nowe funkcje i pomału robi się z niej druga Opera (hehe). Przeglądarka ma np. wbudowaną obsługę Tora poprzez specjalny tryb prywatnościowy. I właśnie tu pojawił się problem.

Błąd w obsłudze Tora

W trybie Tora, przeglądarka powinna cały ruch, również z zapytaniami DNS, wpychać w tunel zestawiony z siecią Tor. Ale na skutek błędu, adresy Torowe (czyli te, które kończą się na .onion) były przesyłane również do serwera DNS, który był ustawiony na komputerze. To oznacza, że jeśli serwerem tym był serwer np. Twojego dostawcy internetu, a Ty wchodziłeś na znany adres “nielegalnej” strony w Torze, to dostawca internetu może teraz o tym wiedzieć (zresztą, Twój dostawca internetu i tak wie o Tobie bardzo dużo — zobacz ile).

Żeby było zabawniej, jak tłumaczy Yan z Brave, przyczyną błędu była… funkcja prywatnościowa wbudowana w Brave, która odpowiada za blokowanie tzw. third party trackers używających rekordów CNAME do podszywania się pod skrypty first-party…

Brave rozwiązało problem poprawką, która wyłączyła tę funkcję w oknie Tora. Z jednej strony to dobrze, a z drugiej… warto uświadomić sobie jedną ważną rzecz:

Nie kombinujcie. Jeśli nie znacie się na Torze, to do korzystania z Tora korzystajcie z Torbrowsera. Ta przeglądarka (bazująca na Firefox) jest dojrzała i wiele “problemów” ma już rozpracowanych. Ale przede wszystkim wbudowano w nią odpowiednie funkcje, które są dedykowanie ochronie naszej prywatności podczas korzystania z Tora. Brave ani inne przeglądarki ich nie mają.

Podsumowując, z Brave warto korzystać jeśli ktoś ceni sobie prostotę, szybkość i brak śledzenia przez Google oraz inne trackery. Ale do usług wymagających zachowania najwyższego reżimu prywatności, używajcie narzędzi które zostały do tego zbudowane, czyli Torbrowsera, którego — jeśli ktoś ma jeszcze wyższe wymagania co do anonimowości — można dodatkowo puścić przez VPN, kupiony samodzielnie wykopaną kryptowalutą ;)

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. Ja i tak przestałem z niej korzystać odkąd zmienili interfejs wyboru karty w mobilu :/

    • Co masz na myśli? Jesli mówisz o wyglądzie kart to można zmienić wygląd ustawiąjąc flagę brave://flags #enable-tab-grid-layout
      jeśli chodzi o coś innego, to możliwe że jest też flaga i od tego ;-)

  2. Chromium/Blink i prywatnosc. Paradne!

    • Nie rozumiem, co jest takiego w silniku WebKit/Blink, że miałby być zły dla prywatności.

  3. Czy brave dalej dokleja cichaczem linki afiliacyjne?
    Przecież to jest patologia a nie przeglądarka.

  4. ” …polecamy ją wszystkim mniej technicznym użytkownikom, którzy nie chcą tracić czasu na rozumienie i konfigurowanie każdego aspektu swojej przeglądarki.”

    Przeglądarka tak bezpieczna, że nawet nie mogę na niej sprawdzać maila (nie bez “rozumienia i konfigurowania każdego aspektu swojej przeglądarki”).

  5. Po tym jak Firefox odstawilo kolejny numer w zeszlym roku – stwierdzilem ze moze czas rozejrzec sie za (bezpieczna) alternatywa. I pomijajac juz, ze wszystko jest teraz oparte na moim zdaniem gó* i niebezpiecznym z zalozenia chrome, to Brave wypadal gorzej nawet niz Opera. Ktos ogarnia wystarczy wejsc sobie w opcje – nie ma nawet podstawowych mechanizmow kontroli skryptow, ze o bardziej zaawansowanych opcjach nie wspomne.

    Taki praktycznie Androidowy antywirus – masz ladne tarcze wszelakich rodzajow, guziki i inne ktore sprawiaja ze uzytkownik czuje ciepelko w serduszku, ale to ktos inny ma kontrole a ty mozesz co najwyzej miec nadzieje…

    • to wlasnie jest zaleta dla osob NIEtechnicznych. Zrozum, ze oni nie chca patrzec w opcje i uczyc sie co oznacza kazde ustawienie i od czego zalezy.

      brave ma te przewage, ze domyslnie aplikuje pewne zabezpieczenia. A jak cos sie popsuje na stronie bo adblock za duzo wycial, to uzytkownik brave wie, ze ma kliknac w tarcze i dalej mu wszystko dziala. To dobry kompromis dla nietechnicznych.

    • Przeciez ja nie chcialem dostepu do tych opcji zeby zmniejszyc moj poziom bezpieczenstwa…
      Ustawienia dla przecietnego kowalskiego musza przeciez byc do niczego (niebezpieczne) – bo bespieczne odcinaja czasem dostep do niektorych funkcji i uslug, ktorych pani Jagoda sama nie wlaczy w razie potrzeby.
      Ergo, olbrzymi attack surface nie sluzacy niczemu innemu jak to zeby “Frankowi ktory opanowal podwojne klikniecie” dzialalo bez zadnych aktywnosci z jego strony.
      I to jest OK, po to sa opcje domyslne – natomiast to zebym ja musial walczyc z aplikacja zeby zmienic jakies ustawienia na bezpieczniejsze (to znaczy miec nadzieje ze zmieniam, bo brak zdeklarowanych opcji (przez to tez informacji o ich stanie) oznacza, ze zmiany wprowadzane “na około” nie musza miec zadnej sily sprawczej – producent nie napisal wprost, ze opcja “wylacz telemetrie” wylacza telemetria wiec nie ma zobowiazan i moze ona rownie dobrze zdalnie smyrac czyjegos chomika jako zdalna kontrola zabawki IOT)…

    • # Troszke bardziej “po polskiemu” (mam nadzieje) ale generalnie
      # to samo co chcialem przekazac w poscie: “2021.02.26 07:38”

      Przeciez ja nie chciałem dostepu do tych opcji zeby zmniejszyc moj poziom bezpieczenstwa, raczej dokladnie odwrotnie…
      Ustawienia dla przecietnego kowalskiego musza przeciez byc bardzo permisywne (przez to niebezpieczne) – bo bezpieczne ograniczaja z zalozenia dzialanie niektorych funkcji i uslug (bo po kiego grzyba implementowac niebezpieczne opcje bez zadnych kozysci), ktorych pani Jagoda sama nie wlaczy w razie potrzeby, a producent przegladarki musi uwzglednic amalgam potrzeb wszystkich “Jagódek” z grupy docelowej, czyli dozwolone musi byc prawie wszystko…
      Ergo, olbrzymi attack surface nie sluzacy niczemu innemu tylko zeby “Frankowi ktory opanowal podwojne klikniecie” wszystko działało bez zadnej administracji z jego strony.

      I to jest OK, po to sa opcje domyslne – natomiast walka z aplikacja zeby zmienic jakies ustawienia na bezpieczniejsze (np. plikach konfiguracyjnych, zintegrowanej bazie danych, tajnych parametrach itp) nie ma wielkiego sensu.
      Ustawienia zmienione poza oficialnymi opcjami, funkcjonuja bardziej jak piracki kodeks (czytaj. nalezy je traktowac jak sugestie) i jako takie nie musza miec zadnej sily sprawczej – producent nie napisal wprost, ze zmiana opcji “włacz telemetrie” z 1 na 0 wylącza telemetrie,
      wiec nie jest zobowiazany (w jakkolwiek slaby ale jednak sposob) zeby ona tak funkcjonowala i moze ona rownie dobrze zdalnie smyrac czyjegos chomika jako kontrola zabawki IOT (zwierzatko, nie slangowe wyrazenie – ty sobie zmieniasz ustawienie, w biurze developera chomik maskotka zostaje podrapany a licznik frajerow inkrementowany o 1)…

    • Mnie najbardziej wkurzyli, jak sporo wersji temu, wywalili z opcji możliwość wyłączenia JS, CSS i wczytywania obrazków. Na forum Mozilli, jakiś mędrek odpisał, że to z troski o szkodników – żeby jednym klikiem nie zrobili sobie krzywdy. Chwila szukania i wyszło, że ten kolo pracuje w Microsofcie. Szpion jeden, ech…

    • Pora nauczyć się, że tarcze są złe. Jeszcze Wam tarcza antykryzysowa tego nie uświadomiła? To też było dla bespieczeństwa.

  6. “Podsumowując, z Brave warto korzystać jeśli ktoś ceni sobie prostotę, szybkość i brak śledzenia przez Google oraz inne trackery”
    Requesty z static1.brave.com nie lecą przez Google?
    Brave nie używa już Googla jako domyślnej przeglądarki?
    Brave skończył już whitelistować tracery Twittera i Facebooka?
    Brave nie ma już własnej telemetrii? (p3a.brave.com)
    Brave Rewards (opcjonalne) dalej wymaga konta na Uphold? (uphold.com/en/legal/privacy-policy)

    Co do Tora, to należy go używać tylko z VPNem, bo nigdy nie wiesz kto kontroluje węzeł.

  7. Bromite ;-)

  8. Za to działanie ta pseudoprzeglądarka jest u mnie już spalona na wieki. To nic innego jak celowa deanonimizacja ludzi. Takich rzeczy się nie da przeoczyć, tylko trzeba zrobić specjalnie bo DNS zwróci błąd na każdej domenie onion!

    • Alez oczywiscie, ze to jest celowe zagranie. Jak w ogole mozna wierzyc, ze jest inaczej…?

    • A teraz tylko czekac, jak na lewo i prawo zaczna spadac glowy dzialaczy spolecznych, opozycjonistow czy kogokolwiek kto nie dostosowal sie do chorych / wypaczonych “norm” rzadzacych w wiekszej czesci swiata…
      Bo jakis matoł pomyslal, ze tak wyłapie przestepców – gó* a nie wyłapie, jak w wiekszosci podobnych przypadkow. Jak sie ktos zastanawia nad mechanizmem to w prosty sposob wyjasnie: zeby przepychać takie pomysly trzeba byc albo głupim albo/i złym (moralnie) – a jak juz sie uda to głupi przestepców/terrorystow/pedofili/iluminatow/reptilian/… (powód, usprawiedliwienie) nie da rady znaleść a zły nie bedzie ich szukał.

  9. Tora najlepiej odpalać na dedykowanej przeglądarce z VPN e-mail i na wirtualnej maszynie wrazie gdyby coś ten tego… zabawy torem w systemie w którym pracujemy/bawimy się na codzień i płacimy rachunki itp jest trochę głupie szczególnie w przypadku osób które nie maja dużego pojęcia co się może stać i kiedy. Poza tym nie mylmy szkodliwości trackerów i reklam od big techów ze stratami które mogą wyniknąć z nieodpowiedniego używania tora. To są dwie różne rzeczy, szczególnie jeżeli robimy w torze rzeczy w danym kraju nielegalne.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: