Birkaç tarayıcı arasında gizlilik kıyaslaması yapıldı. Microsoft Edge, büyük tarayıcılar tarafından toplanan kullanıcı bilgilerini karşılaştıran en düşük gizlilik derecesini aldı. Rus internet arama sağlayıcısı Yandex tarafından geliştirilen daha az popüler tarayıcı olan Yandex Browser, bu şüpheliliği Edge ile paylaştı. Gizliliği öncelik haline getiren yeni başlayan tarayıcı Brave, en yüksek sırada yer aldı.
Sıralamalar Trinity College Dublin bilgisayar bilimcisi Doug Leith tarafından yayınlanan bir araştırma makalesinde açıklandı. Google Chrome, Mozilla Firefox, Apple Safari, Brave, Edge ve Yandex tarafından sağlanan gizliliği analiz etti ve derecelendirdi. Özellikle, çalışma, kullanıcıların zaman içinde kullanıcıları izlemek için kullanılabilecek benzersiz tanımlayıcılar ve yazılan URL’lerle ilgili ayrıntılar dahil olmak üzere tarayıcıların veri göndermesini inceledi. Bulgular, tarayıcıları üç kategoriye ayırdı: Brave en yüksek sıralamayı aldı, Chrome, Firefox ve Safari orta sıralamayı aldı ve Edge ve Yandex geri kalanından aşağıda kaldı.
Gazetede Leith şunları yazdı:
Gizlilik açısından Microsoft Edge ve Yandex, incelenen diğer tarayıcılardan niteliksel olarak farklıdır. Her ikisi de istekleri (ve ilişkili IP adresi / konumu) arka uç sunucularına bağlamak için kullanılabilen kalıcı tanımlayıcılar gönderir. Edge ayrıca aygıtın donanım UUID’sini Microsoft’a gönderir ve Yandex benzer şekilde karma bir donanım tanımlayıcısını arka uç sunuculara iletir. Bu davranışın kullanıcılar tarafından devre dışı bırakılamayacağını söyleyebiliriz. Ziyaret edilen web sayfalarının ayrıntılarını paylaşan arama otomatik tamamlama işlevine ek olarak, her ikisi de web sayfası bilgilerini arama otomatik tamamlama ile alakasız görünen sunuculara iletir.
Güçlü ve Kalıcı Tanımlayıcılar
Hem Edge hem de Yandex cihaz donanımına bağlı tanımlayıcılar
gönderiyor. Aynı cihazda çalışan çeşitli uygulamaları da bağlayabilen bu
benzersiz dizeler, tarayıcıların yeni yüklemelerinden sonra bile aynı kalır.
Edge, bir cihazın evrensel olarak benzersiz tanımlayıcısını
self.events.data.microsoft.com adresinde bulunan bir Microsoft sunucusuna
gönderir. Bu tanımlayıcı kolayca değiştirilemez veya silinemez. Araştırmacı,
yazılan sitelerin ayrıntılarını bir arka uç sunucusuna gönderen Edge otomatik
tamamlamasının devre dışı bırakılamayacağını söyledi.
Bu arada Yandex, donanım MAC adresinin şifrelenmiş bir
karmasını ve ziyaret edilen web sitelerinin ayrıntılarını otomatik tamamlama
işlevi aracılığıyla topladı, ancak ikincisi devre dışı bırakılabilir. Edge ve
Yandex, tarayıcıları çalıştıran donanıma bağlı tanımlayıcılar topladığından,
veriler yeni tarayıcı yüklemelerinde devam eder ve aynı cihazda çalışan çeşitli
uygulamaları bağlamak için de kullanılabilir. Bu tanımlayıcılar daha sonra IP
adreslerini zaman içinde izlemek için kullanılabilir.
“Cihaz tanımlayıcılarının arka uç sunucularına iletilmesi
açıkçası en endişe vericidir, çünkü diğer uygulamalar da dahil olmak üzere
isteğe bağlı olarak yeniden oluşturulabilen bir kullanıcı cihazının güçlü ve
kalıcı bir tanımlayıcısıdır (böylece aynı üreticiden uygulamalar arasında
verilerin bağlanmasına izin verir) ve kullanıcılar tarafından kolayca
değiştirilemez veya sıfırlanamaz. ”
Bir Microsoft temsilcisi, adlandırılmaması ve yanıtın alıntılanmaması koşuluyla bir yanıt verdi. Bu gereklilik için hiçbir sebep göstermedi. Edge’in ürünleri geliştirmek için kullanılan teşhis verilerini toplamak için izin istediğini söyledi. Bu koleksiyonun kapatılabileceğini söyledi. Veriler, ziyaret edilen web siteleri hakkında “bilgi” içerebilirken, kullanıcıların Microsoft hesaplarında depolanmaz.
Tarayıcı Senkronizasyonu
Kullanıcılar Edge’de oturum açtıklarında, tarayıcı
geçmişlerini diğer cihazlarda kullanılabilir hale getirmek için senkronize
edebilirler. Kullanıcılar bu geçmişi privacy.microsoft.com adresinde bulunan
gizlilik kontrol panelinde görüntüleyebilir ve silebilir. Kimlik avı ve kötü
amaçlı yazılım web sitelerine ve zararlı olabilecek dosyaların indirilmesine
karşı koruma sağlayan bir Windows 10 özelliği olan Microsoft’un Defender
SmartScreen, kullanıcıların ziyaret etmeyi amaçladığı URL’leri inceleyerek
çalışır. Bu varsayılan işlev, Edge Gizlilik ve Hizmetler ayarlarından devre
dışı bırakılabilir.
Benzersiz tanımlayıcı, Edge kullanıcılarının Microsoft
sunucularında depolanan ilişkili tanı verilerini silmek için tek bir tıklama
kullanmasına olanak tanır.
Gizlilik spektrumunun diğer ucunda Brave vardı. Çalışma,
varsayılan Brave ayarlarının en fazla gizliliği sağladığını, IP adreslerinin
zaman içinde izlenmesine izin veren tanımlayıcıların hiçbir koleksiyonunun
bulunmadığını ve arka uç sunucularıyla ziyaret edilen web sayfalarının
ayrıntılarının paylaşılmadığını buldu.
Üç Tarayıcı Arasında
Chrome, Firefox ve Safari orta kategoriye girdi. Her üç tarayıcıdaki otomatik tamamlama özelliği, URL’ler yazılırken ziyaret edilen sitelerin ayrıntılarını gerçek zamanlı olarak iletir. Ancak bu varsayılan ayarlar devre dışı bırakılabilir. Gizliliğe zarar verebilecek diğer davranışlar arasında şunlar vardır:
Chrome: Web sitesi adresleriyle birlikte kalıcı bir
tanımlayıcı göndererek ikisinin birbirine bağlanmasına izin verir
Firefox: Telemetri iletiminde bu şeyleri zamanla birbirine bağlayabilen tanımlayıcılar içerir. (telemetri varsayılan olarak açıktır ancak devre dışı bırakılabilir).
Firefox ayrıca anlık bildirimler için kalıcı bir web soketi açar. Araştırmacı, web soketinin benzersiz bir tanımlayıcıya bağlı olduğunu ve kolayca devre dışı bırakılmayan izleme için kullanılabileceğini söyledi.
Safari: Varsayılan olarak, tarayıcı önbelleğine
tanımlayıcılar içeren sayfaları önceden yükleyebilen “birden fazla üçüncü
tarafa” bilgi sızdırabilen bir başlangıç sayfasıdır. Dahası, ilişkili
iCloud işlemleri tanımlayıcılar içeren bağlantılar yaptı.
Apple yetkilileri rapor hakkında yorum yapmayı reddetti,
ancak Safari’nin varsayılan olarak üçüncü taraf çerezlerinin engellenmesini ve
her ikisi de üçüncü taraf web sitelerinin kullanıcılar hakkında edinebileceği
bilgileri sınırlayan Akıllı İzleme Önleme olarak bilinen tamamlayıcı bir
özellik sağladığını belirtti.
Bir açıklamada, Mozilla yetkilileri şunları yazdı:
Tarama geçmişi yalnızca bir kullanıcı senkronize etme
hizmetini açarsa, amacı bir kullanıcının cihazlarında veri paylaşmak olan
Mozilla’ya gönderilir. Diğer tarayıcıların aksine, Senkronizasyon verileri
uçtan uca şifrelenmiştir, bu nedenle Mozilla buna erişemez.
Firefox, kullanıcıların ürünümüzle nasıl etkileşime girdiğiyle ilgili bazı teknik veriler toplar, ancak bunlar kullanıcının tarama geçmişini içermez. Bu veriler, rastgele üretilen benzersiz bir tanımlayıcı ile birlikte iletilir. IP adresleri, güvenlik ve sahtekarlık tespiti için kısa bir süre korunur ve ardından silinir. Bunlar telemetri verilerinden çıkarılır ve tarama oturumlarındaki kullanıcı etkinliğini ilişkilendirmek için kullanılmaz.
Tarayıcıların Uç Sunuculara Bilgi Toplaması Gizliliği İhlal Etmez
Çalışmanın belirttiği gibi, “Kullanıcı verilerinin arka uç sunucularına iletilmesi özünde bir gizlilik ihlali değildir.” Verilerin toplanmasını ve saklanmasını sınırlayarak ve kullanıcıların şifreleme ve anonimleştirme yoluyla bizimle paylaştığı verileri koruyarak Firefox, insanların gizliliğini korumak ve güvenli bir tarama deneyimi sağlamak için çalışır. Açık ve halka açık uygulamalar ve süreçler, kullanıcıların ihtiyaçlarını ilk sıraya koyma konusundaki kararlılığımızı pekiştirmektedir.
Googledid temsilcileri bulgulara hemen yanıt vermez.
Yanıtlar daha sonra gelirse bu yayın güncellenecektir. Araştırma, Chrome sürüm
80.0.3987.87, Firefox 73.0, Brave 1.3.115, Safari 13.0.3, Edge 80.0.361.48 ve
Yandex 20.2.0.1145’in davranışını analiz etti.
Apple’ın arka plan yorumunun da belirttiği gibi, çalışma üçüncü taraf izlemeyi engelleyen özellikleri dikkate almadığı için tarayıcı güvenliğinin dar bir görünümünü alıyor. Yine de, makale Edge’i, Chrome, Firefox ve Safari kullanıcılarını kullanan kişilerin, zaten bu kadar yararlı bulamadığım web sitesi otomatik tamamlama özelliğini devre dışı bırakmak isteyebileceği iyi bir durum ortaya koyuyor. Microsoft’un yukarıdaki yanıtı, diğer bazı veri aktarımlarını da engellemenin yollarını sunmaktadır. Tarayıcı, istismarlara dayanıklı gelişmiş güvenlik önlemleriyle birlikte gelirken, gizliliğe öncelik veren kullanıcılar varsayılan davranışları devre dışı bırakmayı veya farklı bir tarayıcı kullanmayı düşünmelidir.