Podstawy Bezpieczeństwa: Alternatywne przeglądarki – przegląd i konfiguracja

dodał 4 września 2020 o 07:21 w kategorii HowTo, Info  z tagami:
Podstawy Bezpieczeństwa: Alternatywne przeglądarki – przegląd i konfiguracja

Oprócz Chrome i Firefoksa na rynku jest dostępnych wiele przeglądarek, które to zyskują, to tracą na popularności. Które zasługują na uwagę? Jak je skonfigurować, by zwiększyć swoją prywatność? Na co uważać? Dowiecie się z tego artykułu.

W poprzednim poradniku z cyklu Podstawy Bezpieczeństwa omówiliśmy, jak skonfigurować Chrome i Firefoksa, by ograniczyć ryzyko. Dziś skupimy się na bardziej i mniej znanych przeglądarkach, z którymi mogliście mieć styczność. Będzie o Tor Browserze, Ungoogled-Chromium, powiemy też, co nam nie odpowiada w Brave, o który wielokrotnie nas pytaliście.

Podstawy Bezpieczeństwa
Artykuł stanowi część nowego cyklu pod patronatem Aruba Cloud, czyli Podstawy Bezpieczeństwa. Doradzamy w nim, jak podnosić bezpieczeństwo codziennego używania komputerów, telefonów i internetu. Nawet jeśli nie znajdziecie w nim niczego nowego (chociaż warto najpierw sprawdzić!), to zawsze możecie te wpisy podsyłać swoim bliskim i znajomym – im na pewno się przydadzą. W poprzednich odcinkach pokazywaliśmy, jak używać menedżerów haseł, włączyć dwuskładnikowe uwierzytelnianie, zadbać o bezpieczeństwo i prywatność swego konta Google, a także odpowiednio skonfigurować Chrome i Firefoksa.
To która przeglądarka jest najlepsza?

Przeglądarki Microsoftu

W Polsce o Internet Explorerze prawie już zapomnieliśmy, ale na świecie – według statystyk udostępnianych przez StatCounter – w ciągu ostatnich dwunastu miesięcy korzystało z niego nadal około 4% użytkowników. Nic dziwnego, skoro Microsoft nie zaprzestał dostarczania łatek, chociaż sam w lutym 2019 r. doradzał firmom porzucenie IE na rzecz bezpieczniejszych rozwiązań. Wsparcie techniczne tej przeglądarki zostanie zakończone dopiero za rok, konkretnie 17 sierpnia 2021 r. – co ciekawe, później niż w przypadku Microsoft Edge z silnikiem EdgeHTML, z którym Microsoft chce się pożegnać 9 marca 2021 r. Firmie oczywiście zależy, by użytkownicy przerzucili się na nową edycję Edge, która bazuje na Chromium. I tu się z Microsoftem zgadzamy: jeśli z jakiegoś powodu chcecie lub musicie korzystać z domyślnej przeglądarki systemu Windows, to zaktualizujcie ją do najnowszej możliwej wersji. Edge aspiruje zresztą do bycia aplikacją wieloplatformową – powstały już wersje na macOS, iOS i Androida, od miesięcy chodzą też słuchy o planowanym udostępnieniu tej przeglądarki na Linuksa.

Zapobieganie śledzeniu w Microsoft Edge

Pod względem bezpieczeństwa Edge wypada nie gorzej niż Chrome czy Firefox, co może być efektem przejścia na Chromium, czyli otwartoźródłowe oprogramowanie, nad którym czuwa rzesza niezależnych programistów wyłapujących błędy w kodzie (choć sam Edge kod źródłowy ma zamknięty). Z drugiej strony Microsoft dysponuje niemałym zespołem specjalistów, którzy dbają o bezpieczeństwo jego produktów i sami też znajdują luki. Szykując co tydzień Weekendową Lekturę, nie zaobserwowaliśmy, by w nowej wersji Edge odkrywano więcej groźnych podatności niż w innych popularnych przeglądarkach. Czekamy na kolejną edycję konkursu Pwn2Own, by się przekonać, jak poradzą z nią sobie doświadczeni hakerzy.

Z zachowaniem prywatności jest niestety gorzej, ale czy ktoś naprawdę się spodziewał, że przeglądarka Microsoftu nie będzie komunikować się z serwerami producenta? Możemy oczywiście te zapędy ograniczyć i to na dwa sposoby: albo w ustawieniach Edge, przechodząc do zakładki „Prywatność i usługi”, albo odgórnie, w ustawieniach systemu Windows 10, gdzie wybieramy najpierw opcję „Prywatność”, następnie „Diagnostyka i opinie” (w ten sposób skonfigurowano przeglądarkę widoczną na zrzutach ekranu). Szkoda tylko, że firma ma tendencję do przywracania tego typu ustawień do wartości domyślnych niemal po każdej większej aktualizacji systemu – nasze zmiany mogą więc okazać się nietrwałe. Choćby dlatego warto pomyśleć o zainstalowaniu chroniących prywatność wtyczek, których możemy poszukać zarówno na stronie Dodatki do Microsoft Edge, jak i w Chrome Web Store (dzięki temu, że Edge opiera się teraz na Chromium).

Ustawienia prywatności i bezpieczeństwa w Microsoft Edge

Warto też wspomnieć o badaniu Douglasa J. Leitha z Kolegium Świętej Trójcy w Dublinie (Trinity College Dublin), którego wyniki opublikowano w lutym br. Pod lupę trafiło sześć przeglądarek z domyślną konfiguracją: Chrome, Firefox, Brave, Safari, Edge i Yandex. Badacz sprawdził, jakie dane wysyłają one na serwery swoich twórców zaraz po uruchomieniu, a także w trakcie wklejania i wpisywania adresów URL w pasku adresu. Edge wypadł fatalnie m.in. z powodu przypisywania użytkownikom trwałych identyfikatorów powiązanych ze sprzętem, na którym został zainstalowany (co może Microsoftowi ułatwić profilowanie konkretnych osób).

Safari, czyli co oferuje Apple

Z Safari możemy korzystać tylko w ekosystemie firmy Apple, czyli na platformach macOS i iOS (chociaż do 2012 r. istniała też wersja na Windows). Mamy tu do czynienia z kolejną dużą firmą, którą stać na zatrudnienie wykwalifikowanych ekspertów ds. bezpieczeństwa. O poważnych lukach w Safari dowiadujemy się niezbyt często. W zeszłym tygodniu Paweł Wyleciał z firmy Read Team poinformował o możliwości kradzieży lokalnych plików za pośrednictwem Web Share API, z którego korzysta ta przeglądarka. Apple dowiedział się o podatności już w kwietniu, długo ociągał się z odpowiedzią i w końcu stwierdził, że rozwiąże problem… wiosną 2021 r. Zdegustowany tym ekspert postanowił ujawnić szczegóły. Z reguły jednak firma reaguje szybciej, np. w trakcie przeprowadzonych ostatnio zawodów Pwn2Own jedna z drużyn przejęła kontrolę nad systemem macOS, wykorzystując błędy w Safari – Apple załatał je w ciągu dwóch miesięcy.

Ustawienia bezpieczeństwa w Safari

Z badania Douglasa J. Leitha wynika, że Safari przekazuje producentowi mniej wrażliwych danych niż Edge, ale i tak podczas wpisywania adresu URL przez użytkownika generuje aż 32 różne żądania do serwerów Apple i Google, m.in. sprawdzając, czy szukana strona nie znajduje się na liście niebezpiecznych. Ekspert podzielił testowane przeglądarki na trzy kategorie, Safari umieścił w środkowej, obok Chrome i Firefoksa – co oznacza, że wszystkie trzy dbają o prywatność lepiej niż Edge, który wraz z rosyjskim Yandeksem trafił do trzeciej kategorii (o zwycięzcy testu napiszemy później).

W porównaniu z innymi przeglądarkami Safari nie pozwala na zbyt duże zmiany w ustawieniach, co widać na zrzutach ekranu. W poprzednim artykule wspominaliśmy też o usunięciu z Safari opcji Do Not Track, która w założeniu miała chronić przed śledzeniem w sieci, ale została uzależniona od dobrej woli właścicieli stron i usług – wielu z tych, którzy respektowali ją zaraz po wprowadzeniu, z biegiem lat zmieniło zdanie. Z drugiej strony twórcy DuckDuckGo ustalili, że tylko jedna czwarta użytkowników przeglądarek świadomie tę opcję włącza – na tyle mało, że według niektórych badaczy można to wykorzystać do fingerprintingu.

Ustawienia prywatności w Safari

Są i dobre wieści. Obecna w Safari funkcja Intelligent Tracking Prevention w marcu stała się bardziej restrykcyjna i zaczęła domyślnie blokować ciasteczka firm trzecich, znacznie utrudniając reklamodawcom profilowanie użytkowników (webmasterzy też mogą być niezadowoleni, bo część z wdrażanych przez nich komponentów mogła przestać w tej przeglądarce działać). Warto też wspomnieć, że na konferencji WWDC 2020, która odbyła się w czerwcu, Apple udostępnił narzędzie, które umożliwia proste portowanie rozszerzeń z innych przeglądarek. Dotychczasowy wybór wtyczek dla Safari – zatwierdzonych przez producenta i dostępnych w App Store – nie był zbyt obszerny, teraz może się to jednak zmienić. Do Safari mogą niedługo trafić rozszerzenia znane z Chrome, Firefoksa czy Edge, co podniesie funkcjonalność tej przeglądarki, zapewne także w zakresie bezpieczeństwa i prywatności.

Co nam nie odpowiada w Brave

Brave uchodzi za przeglądarkę, która wyjątkowo dobrze dba o prywatność użytkowników – poleca ją z tego względu część ekspertów z polskiego podwórka. Potwierdza to także badanie Douglasa J. Leitha, zgodnie z którym nawet domyślnie skonfigurowana przeglądarka nie wysyła na zdalne serwery stałych identyfikatorów, które mogłyby pomóc w profilowaniu korzystających z niej osób, nie generuje też zbędnych połączeń w trakcie wklejania i wpisywania adresów stron, które użytkownik chce odwiedzić. Jak się pewnie domyślacie, to właśnie Brave zwyciężył w omawianym teście – ale nie wszyscy badacze oceniają go tak entuzjastycznie. Serwis PrivacyTools usunął Brave z listy polecanych przeglądarek już w sierpniu 2019 r. (ruch ten poprzedziła dyskusja, z którą możecie zapoznać się na GitHubie). Spyware Watchdog, inna strona skupiająca się na przeglądarkach, przydzieliła Brave do kategorii Low Tier – Poor Privacy, do której trafiły także Firefox, Waterfox, Vivaldi i Dissenter (na pocieszenie powiemy, że Chrome uplasował się jeszcze niżej).

Nagrody za oglądanie reklam w Brave

Czytelnikom, którzy pytali nas o zdanie na temat tej przeglądarki, odpowiadaliśmy dotychczas krótko, że nie mamy zaufania do jej modelu biznesowego. Dziś napiszemy o tym trochę więcej. Brave szczyci się m.in. domyślnie włączoną blokadą reklam i skryptów śledzących, jednocześnie proponuje „nagrody za przeglądanie internetu”. Innymi słowy, oferuje własną kryptowalutę BAT (Basic Attention Token) za oglądanie – tak, zgadliście – reklam. W ustawieniach możemy przeczytać: „Reklamy te odpowiadają Twoim zainteresowaniom, które określane są na podstawie sposobu przeglądania przez Ciebie stron internetowych. Twoje dane osobowe oraz historia odwiedzin przez cały czas pozostają w Twojej przeglądarce”. Twórcy Brave nie pozwalają więc poszczególnym reklamodawcom na profilowanie użytkowników, ale sami – i owszem – robią to na bieżąco (reklamodawcy płacą im za wyświetlanie reklam konkretnym grupom, bez profilowania nie da się tego osiągnąć i nie ratuje sytuacji rzekoma nieinwazyjność podsuwanych użytkownikom reklam).

Jakby tego było mało, w czerwcu Brave został przyłapany na podpinaniu własnych linków referencyjnych po wykryciu przekierowania na adres z puli wspieranych serwisów afiliacyjnych. Działo się to bez pytania użytkowników o zgodę, a dotyczyło giełd Binance i Coinbase oraz portfeli kryptowalutowych Ledger i Trezor. Jak wiemy, gdy użytkownik przechodzi na stronę, używając linku referencyjnego, to po dokonaniu przez niego zakupu ten, kto link stworzył, otrzymuje prowizję. W tym przypadku zarabiali twórcy Brave, ale robili to, wykorzystując nieświadomość użytkowników, co bez wątpienia mija się z etyką. CEO firmy stojącej za przeglądarką tłumaczył, że to tylko błąd, do którego doszło w wyniku niewłaściwego określenia atrybutu autouzupełniania. Badacze raczej w to nie uwierzyli, a „błąd” przy okazji kolejnej aktualizacji usunięto.

Ustawienia prywatności i bezpieczeństwa w Brave

Jeśli mimo przedstawionych wyżej zastrzeżeń, chcecie używać Brave, po pierwszym uruchomieniu zajrzyjcie do ustawień i dopasujcie je do własnego poziomu ryzyka. Warto zapoznać się nie tylko z widoczną na zrzucie ekranu zakładką „Prywatność i bezpieczeństwo”, ale też innymi, bo np. „Wygląd” zawiera kilka opcji dotyczących autouzupełniania, a w zakładce „Strona nowej karty” można wyłączyć wyświetlanie obrazów sponsorowanych. Sekcja „Tarcze” pozwala zarządzać blokadą reklam, skryptów i ciasteczek (przeglądarka standardowo blokuje ciasteczka firm trzecich, co zasługuje na pochwałę). Jeśli natomiast chcecie, by nie śledziły was Facebook i Twitter, umieszczone przez twórców Brave na białej liście, to nie pomijajcie sekcji „Zablokuj sieci społecznościowe” – w przypadku przeglądarki dbającej o prywatność to się może wydać dziwne, ale domyślnie blokuje ona tylko skrypty LinkedIna, inne ochrony trzeba włączyć samodzielnie. Można też rozszerzyć funkcjonalność Brave, instalując wybrane wtyczki z Chrome Web Store, jest to bowiem kolejna przeglądarka bazująca na Chromium. Na koniec warto wspomnieć o obsłudze sieci Tor w trybie prywatnym, co przy rozsądnym korzystaniu może użytkownikowi pomóc w zachowaniu anonimowości.

Opera i Vivaldi

Opera wywodzi się z Norwegii i najpierw była rozprowadzana jako trialware, następnie na licencji adware, czyli z reklamami, za usunięcie których trzeba było zapłacić. Dopiero w 2005 r. przeistoczyła się w oprogramowanie w pełni darmowe (freeware), a w 2013 r. zaczęła bazować na Chromium, co z uwagi na znaczne ograniczenie funkcjonalności nie spodobało się wielu użytkownikom – dlatego do 2016 r. równolegle była rozwijana także „klasyczna” wersja tej przeglądarki, oparta na silniku Presto. Przejście na Chromium (i opracowany przez Google silnik Blink), podobnie jak w przypadku Edge, podniosło poziom bezpieczeństwa, ale nie przysporzyło Operze zwolenników wśród osób dbających o prywatność. Serwis Spyware Watchdog umieścił ją w kategorii Rock Bottom – No Privacy (razem z Chrome i kilkoma innymi przeglądarkami o zamkniętym kodzie).

Ustawienia prywatności i bezpieczeństwa w Operze

Badacze krytykują Operę m.in. za zbytnią integrację z usługami dostarczanymi przez partnerów – zerknijcie na powyższy zrzut ekranu, na pasku bocznym bez problemu rozpoznacie ikonki Facebook Messengera, WhatsAppa i Instagrama, a zaglądając do konfiguracji, znajdziecie kolejne, należące do Telegrama, rosyjskiego VK (dawniej VKontakte) i Twittera. To może i wygodne, jeśli jednak chcemy ograniczyć ilość zbieranych o nas danych, nie powinniśmy się logować do tych usług z poziomu przeglądarki. Z oświadczenia, które nam przesłał przedstawiciel Opery po publikacji tego artykułu, wynika, że „zakładki są z natury pasywne, więc dopóki nie zostaną kliknięte, to żadne dane nigdzie nie popłyną. (…) Proces logowania się do tych usług, jak i dalszej ich obsługi, realizowany jest w ramach strony internetowej, nie zaś przez UI przeglądarki”. Zapytaliśmy, czy na serwery Opery przesyłane są informacje, z jakich konkretnie usług korzysta użytkownik. Dowiedzieliśmy się, że dzieje się tak w przypadku użytkowników, którzy wyrazili zgodę na wysyłanie anonimowych statystyk, o czym w sekcji Anonymous usage statistics informuje polityka prywatności. Przedstawiciel Opery zapewnił: „nie zbieramy informacji o częstotliwości ani długości korzystania z tych usług, jedynie fakt, czy dany komunikator z paska bocznego był użyty w trakcie sesji browsera czy też nie”. Na pytanie, w jaki sposób Opera ocenia, czy dodanie określonej ikony w pasku bocznym jest dla użytkowników przydatne, otrzymaliśmy odpowiedź: „Na podstawie statystyk opisanych powyżej oraz feedbacku użytkowników na naszym blogu, jak również w mediach społecznościowych i innych portalach”.

Niepokój mogą budzić doniesienia o rzekomej zapaści finansowej Opery. Według firmy Hindenburg Research chińskie konsorcjum, które w 2016 r. zapłaciło Norwegom za przeglądarkę 600 mln dolarów, nie ma dobrego planu jej rozwoju, a obecny CEO spółki stojącej za Operą, zamiast na niej, bardziej się skupia na reklamowaniu innych produktów (jak aplikacja do karaoke) czy nawet na udzielaniu pożyczek, tzw. chwilówek. Stąd już tylko krok do zaniechań zarówno w kwestiach bezpieczeństwa, jak i prywatności – oczywiście, gdyby opisywana sytuacja okazała się prawdziwa, tymczasem Opera wszystkiemu zaprzecza i twierdzi, że opublikowany raport ma na celu obniżenie wartości akcji firmy. Oświadczenie, które do nas dotarło, głosi: „Najważniejsza część raportu Hindenburg Research jest napisana na samym dole drobnym drukiem. Czytamy tam, iż autorzy raportu i ich współpracownicy grają na spadek akcji Opery i w razie gdy rzeczony spadek nastąpi, zarobią duże pieniądze. Tym samym należy mieć świadomość, że nie jest to rzetelny raport sporządzony przez bezstronnego obserwatora, a do zawartych tam informacji należy podchodzić z dużym dystansem”. Osobom zainteresowanym rzeczywistą sytuacją finansową Opery biuro prasowe poleca oficjalne publikacje giełdowe oraz stanowisko firmy w sprawie wspomnianego raportu.

Na razie nie odradzamy więc korzystania z Opery, jeśli komuś ta przeglądarka odpowiada, zalecamy tylko staranne jej skonfigurowanie. Można w niej już np. włączyć usługę DNS-over-HTTPS (DoH), która umożliwia wysyłanie zapytań do serwerów DNS za pośrednictwem szyfrowanego połączenia HTTPS, co zwiększa prywatność użytkowników. Jak w każdej przeglądarce bazującej na Chromium, w Operze również możemy skorzystać z wtyczek dostępnych za pośrednictwem Chrome Web Store, nadal też działa strona Opera Addons.

Ustawienia prywatności w Vivaldi

Innym rozwiązaniem dla osób, które przyzwyczaiły się do interfejsu Opery, jest sięgnięcie po przeglądarkę Vivaldi, która wywodzi się od wspomnianej wcześniej wersji klasycznej i zbiera zdecydowanie mniej danych (choć zdążyła już przerzucić się na Chromium). Twórcy serwisu Spyware Watchdog ulokowali ją poziom wyżej niż Operę, czyli obok Firefoksa i Brave. Vivaldi korzysta z usług Google, ale w mniejszym zakresie niż większość przeglądarek, np. zamiast Google Analytics używa Matomo, otwartoźródłowego narzędzia do analizy statystyk (dawniej Piwik). Nie uświadczymy tu także integracji z popularnymi komunikatorami, co z punktu widzenia prywatności jest dobrym posunięciem.

Niby Chrome, ale bez Google

Instalując Chromium w systemie Windows 10, mamy szansę zobaczyć komunikat o tym, że Microsoft Defender SmartScreen zablokował uruchomienie aplikacji, która „może spowodować zagrożenie komputera” – choć na otwartoźródłowym odpowiedniku Chrome opiera się już nawet Edge. Lepiej więc pobrać wersję portable, czyli niewymagającą instalacji. Jeśli korzystaliśmy dotąd z Chrome, to na pierwszy rzut oka nie zobaczymy zbyt wielu różnic. Dopiero grzebiąc w ustawieniach, możemy zauważyć brak niektórych opcji związanych z przesyłaniem danych na serwery Google – Chromium integruje się bowiem z usługami tej firmy w mniejszym stopniu niż Chrome. To dobre z punktu widzenia prywatności, ale niekoniecznie wygodne.

Ustawienia prywatności i bezpieczeństwa w Chromium

Problem stanowi np. synchronizacja danych użytkownika pomiędzy urządzeniami. Niby możemy tę funkcję włączyć w zakładce „Ty i Google”, w praktyce jednak trafiamy na stronę błędu 404. W Chromium brakuje pewnych kluczy interfejsu Google API, o czym przeglądarka informuje zaraz po uruchomieniu – usunięto je trzy lata temu, zostawiając chętnym furtkę do ich uzyskania (i włączenia synchronizacji), ale dla początkujących użytkowników może to być twardy orzech do zgryzienia.

Innym problemem, który sygnalizowaliśmy w poprzednim artykule z cyklu Podstawy Bezpieczeństwa, jest brak automatycznych aktualizacji, co w przypadku odkrycia poważnych luk może skutkować przejęciem kontroli nad systemem, zanim ofiara dowie się o zagrożeniu i zainstaluje stosowne poprawki. Jeden z naszych Czytelników napisał w komentarzu: „Chromium jest automatycznie aktualizowany w Linuksach. W Fedorze, w Ubuntu (jako snap), w Debianie i Arch Linuksie znajdziemy ten program jako paczkę dostępną w domyślnym systemowym repozytorium, aktualizowaną na bieżąco”. Miał rację, dziękujemy! W innych systemach, np. na Windowsie, nie jest to niestety możliwe, dlatego w tym przypadku polecamy Chromium tylko osobom, które nie zapomną o regularnym aktualizowaniu przeglądarki.

Ustawienia prywatności i bezpieczeństwa w Ungoogled-Chromium

Na uwagę zasługuje także Ungoogled-Chromium, który zgodnie ze swoją nazwą nie przesyła żadnych danych na serwery korporacji z Mountain View i dlatego w serwisie Spyware Watchdog uplasował się w kategorii Top Tier – Best Privacy. Za sprawą łatek opracowanych przez deweloperów Debiana, przeglądarki Iridium i projektu Inox wyłączono wiele funkcji wykorzystywanych przez usługi Google do profilowania użytkowników (jak Google Host Detector, Google URL Tracker, Google Cloud Messaging, Google Hotwording itp.), pozbyto się nawet mechanizmu Safe Browsing, z którego przeglądarki oparte na Chromium z reguły nie rezygnują. Odwołania do stron Google w kodzie źródłowym zastąpiono przekierowaniami do nieistniejącej domeny qjz9zk. Wyjątek stanowi Chrome Web Store – z dostępnych w tym sklepie wtyczek mogą korzystać obie omawiane wersje przeglądarki (twórcy Ungoogled-Chromium polecają uBlock Origin i uMatrix).

Tor Browser – przeglądarka do zadań specjalnych

Tor Browser jako jedyny w tym zestawieniu nie bazuje na Chromium. Jego podstawę stanowi Firefox ESR – patrząc na poniższe zrzuty ekranu, łatwo zauważyć podobieństwo. Wybaczcie, że nie zainstalowaliśmy wersji polskojęzycznej. Aby zachować anonimowość w sieci Tor, nie wystarczy używać obsługującej ją przeglądarki, trzeba jeszcze zrezygnować z cech wyróżniających nas w tłumie, np. z wybierania w ustawieniach języka innego niż angielski. Przeglądarki informują odwiedzane strony o swojej konfiguracji, na tej podstawie tworzony jest fingerprint (z ang. odcisk palca), który pozwala stronom z dużym prawdopodobieństwem rozpoznać, czy otwieraliśmy je już wcześniej. Stąd wniosek: im bardziej uniwersalną będziemy mieć konfigurację, tym trudniej będzie potwierdzić naszą tożsamość. Tor Browser reklamuje się jako przeglądarka chroniąca przed fingerprintingiem, konieczne są jednak pewne zmiany w ustawieniach, by rzeczywiście to robił.

Ustawienia bezpieczeństwa w Tor Browserze

Podobnie jak w Firefoksie, możemy tu włączyć jeden z trzech poziomów ochrony – tylko „Safest”, który blokuje uruchamianie JavaScriptu na wszystkich stronach, definitywnie zapobiega tworzeniu fingerprintów (skutkiem ubocznym może być ograniczenie funkcjonalności niektórych stron). W marcu Tor Project naprawił zresztą błąd, który umożliwiał wykonanie napisanego w JavaScripcie kodu mimo włączonego trybu „Safest”. To dobry powód, by zawsze korzystać z najnowszej wersji przeglądarki – Tor Browser, na szczęście, potrafi aktualizować się automatycznie.

Serwis Spyware Watchdog ulokował tę przeglądarkę w kategorii Top Tier – Best Privacy, tak samo jak Ungoogled-Chromium. PrivacyTools z kolei do codziennego korzystania poleca Firefoksa, sugerując, by Tor Browser był używany w sytuacjach, gdy potrzebujemy „dodatkowej warstwy anonimowości”. Ma ją zapewnić m.in. stale aktywny tryb prywatny, w którym przeglądarka nie zachowuje historii odwiedzanych stron i pobieranych plików oraz usuwa ciasteczka w trakcie zamykania programu. Warto jednak pamiętać, że zarówno w przypadku Tor Browsera, jak i każdej innej przeglądarki, tryb prywatny ukrywa naszą aktywność przede wszystkim przed innymi osobami, które używają tego samego sprzętu co my. Nie stajemy się dzięki niemu niewidzialni online – jeśli się odpowiednio nie zabezpieczymy, otwierane strony dalej będą śledzić naszą aktywność. W przypadku przeglądarek innych niż Tor Browser poczynania użytkowników w trybie prywatnym mogą monitorować także dostawcy usług internetowych i pracodawcy udostępniający służbowe komputery. Jeśli użyjemy Tor Browsera, to ukryjemy przed dostawcą i pracodawcą nasze działania w sieci, ale nie sam fakt połączenia z Torem. Żeby i to utajnić, musielibyśmy przed uruchomieniem przeglądarki skorzystać z VPN-a – a wtedy ujawnimy fakt korzystania z VPN-a.

Ustawienia prywatności w Tor Browserze

Tryb prywatny nie chroni też przed złośliwym oprogramowaniem, na które możemy natknąć się w sieci – powinniśmy więc w ustawieniach włączyć „Deceptive Content and Dangerous Software Protection”. Warto też wspomnieć o dwóch domyślnie zainstalowanych wtyczkach: NoScript pozwala na selektywne blokowanie skryptów tworzonych w JavaScripcie i apletów Javy, Silverlighta oraz Flasha, natomiast HTTPS Everywhere – zgodnie ze swoją nazwą – wymusza na przeglądanych stronach stosowanie szyfrowanego protokołu HTTPS. Inne wtyczki możemy pobrać ze strony Firefox Add-ons.

Podsumowanie

Wybór przeglądarki idealnej nie jest prostym zadaniem. Najczęściej stajemy przed trzema potencjometrami – bezpieczeństwo, prywatność i wygoda. Problem polega na tym, że w większości przypadków nie da się wszystkich ustawić na maksimum. Oto propozycja dla kilku profili użytkowników:

  • wygodnicki (ma działać, mieć dużo wtyczek, synchronizować wszystko ze wszystkim i być automatycznie aktualizowane): Chrome lub Firefox,
  • nieświadomy (a co to jest przeglądarka?): Chrome, Firefox lub Edge,
  • fanatyk (Apple najlepsze!): oczywiście Safari,
  • prywaciarz (może być wolno, ale żeby nikt nie wiedział, kim jestem): Tor Browser,
  • paranoik (wolę, żeby nic nie działało, niż żeby komputer miał kiedykolwiek wysłać choć 1 pakiet do Google i sam sobie wszystko skonfiguruję): Ungoogled-Chromium,
  • tekściarz (tryb graficzny to zło): Lynx lub Elinks.

Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.