Почему браузеры спорят о том, как нужно защищать данные пользователей

В 1990-х годах такие браузеры, как Netscape Navigator и Microsoft Internet Explorer, соревновались в запуске удивительных функций и привлечении пользователей. Сегодня браузерный ландшафт выглядит совершенно иначе. С одной стороны, доминирует Chrome, который контролирует около двух третей рынка как настольных, так и мобильных устройств. С другой стороны, еще более жесткой стала борьба, касающаяся защиты пользовательских данных. Это хорошие новости для всех, кого пугает небрежное обращение с конфиденциальной информацией, но браузеры все больше расходятся в своих методах, и становится ясно, что не все средства защиты данных равны.

На конференции по безопасности USENIX Enigma, которая состоялась в Сан-Франциско на прошлой неделе, разработчики и исследователи озвучили различные мнения о том, как браузеры должны защищать пользователей от злоупотребления их данными. На панельной дискуссии, в которой приняли участие представители Mozilla Firefox, Google Chrome, Microsoft Edge и Brave, все согласились с тем, что сотрудничество в этой сфере стимулирует инновации. Но одни браузеры выбирают радикальные изменения, а другие предпочитают усиливать защиту данных, сохраняя статус-кво.

«Думаю, конкуренция подталкивает всех нас к усилению защиты по умолчанию. Например, когда мы видим, что Safari разворачивает новое решение в этой области, то думаем: ″О, мы должны хотя бы попытаться соответствовать″. Как у браузера, прежде всего ориентированного на конфиденциальность, это одно из наших главных коммерческих преимуществ», — рассказал Ян Чжу, директор по информационной безопасности Brave.

Браузеры могут предпринять ряд шагов, чтобы помешать сайтам и рекламным сетям отслеживать действия пользователей в интернете. Они могут затруднить сопоставление истории посещений с личностью, которое базируется на сочетании уникальных характеристик — «отпечатков пальцев» — браузера и устройства, на котором он установлен. Они могут блокировать встроенные в сайты трекеры. Браузеры также могут ввести дополнительное шифрование информации о посещениях сайтов и поддержать сторонние расширения, которые позволяют самостоятельно настраивать защиту данных.

Еще одна давняя тема споров — как обрабатывать куки-файлы сторонних сайтов, которые браузеры хранят для персонализации пользовательского опыта, но которые также часто используются для отслеживания действий. Safari, Firefox и Brave решили блокировать сторонние куки по умолчанию — к большому огорчению рекламодателей. Google объявил, что планирует сделать то же самое, но не сейчас, а в течение двух лет. Как крупнейший рекламодатель он также выигрывает от блокировки сторонних трекеров, чего не скажешь о других браузерах.

Почти все основные браузеры принимают меры по защите персональных данных, но концептуально их подходы различаются. Многие споры касаются вопросов о том, как далеко продвинутся эти методы и не будет ли у них побочного эффекта. Иногда защита конфиденциальности может нарушать законную функциональность сайта. Например, комментарии, загружаемые со стороннего хостинга, могут быть ошибочно приняты за модуль таргетированной рекламы. Таким образом, каждый браузер должен решить, что для него приоритетнее: защита конфиденциальности или простота использования.

«Firefox, Edge, Brave и Safari по умолчанию предлагают системы защиты от отслеживания, но все они немного различаются, все идут на разные компромиссы. Но, в конце концов, все мы пытаемся улучшить защиту и учимся этому друг у друга. Думаю, мы [Firefox] отличаемся от Chrome тем, что не пытаемся сохранить существующую модель. Для нас главным приоритетом является конфиденциальность, поэтому, когда мы выбираем между существующей моделью и конфиденциальностью, мы всегда отдаем предпочтение конфиденциальности», — сказал Танви Вьяс, главный инженер Mozilla.

Существующая модель предоставляет компаниям и рекламодателям доступ к некоторым маркетинговым данным. Один из аргументов в пользу сохранения этого подхода звучит так: если браузеры станут слишком строгими, рекламодатели начнут извлекать контент из открытого веб-пространства и перемещать его в закрытые мобильные приложения.

«Веб не существует в вакууме. Люди, которые создают сайты и сервисы, могут выбирать платформы для таргетинга. Они могут создать мобильное приложение и убрать свой контент из открытой сети, чтобы поместить его в огороженный сад. Если мы внесем изменения во благо конфиденциальности, которые нанесут ущерб открытому веб-пространству, мы можем подтолкнуть людей к использованию менее защищенных экосистем», — считает Эрик Лоуренс, руководитель Edge.

Джастин Шу, директор по разработке Chrome, говорит, что Google уже видит эту миграцию в сторону приложений и других закрытых платформ. По его словам, хоть теоретически в этой эволюции и нет ничего плохого, она не должна происходить за счет веб-пространства. Именно по этой причине Chrome работает над набором открытых стандартов, известных как Privacy Sandbox, цель которых — найти золотую середину в защите конфиденциальности.

«Вообще говоря, рекламодатели нуждаются не в ваших данных. Все, чего они действительно хотят, — это эффективная монетизация. Мы можем дать им инструменты, чтобы они добивались ее, не создавая профили пользователей и не отслеживая их», — сказал Шу на конференции. В Privacy Sandbox Google планирует предложить стандарты, которые позволят анонимно агрегировать рекламные данные для маркетологов.

Chrome твердо стоит на том, что это предложение укрепит открытую сеть. Если контент переместится в закрытые приложения, пользователи не получат выгоды от усиления прозрачности и защиты в веб-пространстве. Но трудно игнорировать тот факт, что Google, управляющий одной из крупнейших в мире рекламных интернет-сетей, также явно заинтересован в защите этой отрасли.

Критики такого подхода утверждают, что он не решает фундаментальных проблем, которые делают цифровой маркетинг настолько агрессивным. Это достаточно сложная проблема, поскольку усилия по сокращению отслеживания могут иметь противоположный эффект. Например, Apple сейчас устраняет уязвимости в Safari Intelligent Tracking Prevention, из-за которых пользователя можно идентифицировать по заблокированным сигналам. Исследователи продолжают находить недостатки в исправлениях компании.

«Общественное внимание к ежедневному отслеживанию и усилия, предпринимаемые в нескольких регионах мира, по-видимому, оказывают все большее давление на браузеры и заставляют их двигаться навстречу пользователям и защищать конфиденциальность по умолчанию. Но они не идут одинаковыми путями и не получают одинакового эффекта. Некоторые заставляют всех поверить, что многое делают для своих пользователей, но на самом деле это не так. В некоторых случаях они только ухудшают ситуацию: это относится к стандартизации других способов отслеживания, удалению пользовательского контроля и настройке отслеживания по умолчанию», — говорит Андрес Арриета, директор по проектированию потребительских систем безопасности в Electronic Frontier Foundation.

Разногласия по поводу лучшего подхода к вопросам конфиденциальности в сети стали настолько сильными, что некоторые игроки решили остаться в тени. Например, Microsoft Edge хочет избавиться от багажа плохих выборов, сделанных Internet Explorer в начале 2000-х годов, и после ребрендинга предстать как надежный, но нейтральный браузер.

«Одна из вещей, которые мы до сих пор пытаемся делать в Edge, — это быть немного спокойнее. Мы не хвалимся защитой конфиденциальности на верхнем уровне, не так много говорим: ″Эй, мы защищаем вас так или эдак″», — отмечает Лоуренс из Edge.

Edge теперь работает на программном обеспечении Chromium с открытым исходным кодом Google, но он все еще использует решения Microsoft, а не третьих сторон. Таким образом, пользователям Edge не нужно доверять второму вездесущему технологическому гиганту и рисковать своими данными перед лицом множества рекламных сетей. Например, Edge использует функцию под названием Microsoft Defender SmartScreen вместо Google Safe Browsing. Edge также предлагает функцию Tracking Prevention, которую Microsoft использует для блокировки трекеров и которую пользователи могут настроить более или менее строго в зависимости от их отношения к ложным срабатываниям.

Очевидно, что противостояние только начинается. Но, по крайней мере, радует, что браузеры наконец обсуждают защиту пользователей и конкурируют, предлагая лучшие варианты. Но актуальным остается вопрос о том, удастся ли им найти правильное решение.

Источник.