Navegação segura no Brave Seguir
O Brave Browser usa o Google Safe Browsing para proteger os usuários de sites mal-intencionados. Ele é ativado por padrão em todas as plataformas, mas pode ser desativado a qualquer momento no menu de configurações do navegador.
O Safe Browsing oferece proteção em três áreas:
- Sites: bloqueia sites de phishing, bem como aqueles que hospedam malware ou software indesejado
- Downloads: bloqueia softwares perigosos, incomuns ou potencialmente indesejados (somente para desktop)
- Extensões do navegador: impede que você faça download de extensões mal-intencionadas, vulneráveis ou que violam políticas e desativa as que já estão instaladas (somente para desktop)
O Google trabalha para fornecer as informações mais precisas e atualizadas sobre recursos inseguros da Web. No entanto, o Google não pode garantir que suas informações sejam abrangentes e livres de erros: alguns sites de risco podem não ser identificados, e alguns sites seguros podem ser identificados por engano.
Um sistema de preservação de privacidade
A navegação segura no Brave tem as seguintes propriedades de privacidade:
- Os URLs nunca são enviados para o servidor operado pelo Google.
- A grande maioria das visitas ao site não leva a solicitações do servidor.
- No desktop, o navegador não se conecta diretamente ao servidor; em vez disso, ele passa por um servidor proxy operado pela Brave para que os servidores do Google nunca vejam seus endereços IP.
No centro da Navegação segura estão as listas de sites ou arquivos perigosos. Em vez de enviar URLs completos a um servidor, o protocolo é estruturado de forma que a maior parte dessas verificações seja feita localmente usando listas baixadas do servidor de Navegação segura.
Quando um usuário visita um site com um URL de phishing.example/
:
- O navegador transformará o URL em
bac52b0b455d4b0435379a9cb61d43cd54bcd0f17ff0a5477b2598373fd7b997
usando a função de hash SHA-256. - Em seguida, ele truncará esse "hash" para
bac52b0b
e o procurará em sua cópia local das listas de Navegação segura. - Se esse prefixo de hash for encontrado em uma lista (e somente nesse caso), o navegador solicitará ao servidor de Navegação segura a lista de todos os hashes em tamanho real que começam com esse prefixo (somente o prefixo é enviado, não o hash completo).
- Por fim, o navegador comparará o hash do URL do site com os hashes completos que acabou de receber e mostrará uma página de aviso em caso de correspondência.
As listas são atualizadas aproximadamente a cada 30 minutos, começando aleatoriamente nos primeiros 5 minutos após a inicialização do navegador. Todos os usuários recebem as mesmas listas. As listas são consideradas válidas por 45 minutos e são automaticamente ignoradas se não forem atualizadas após esse período. Você pode encontrar essas listas, juntamente com o status e a hora da última atualização, em brave://safe-browsing/#tab-db-manager
.
Você pode encontrar mais detalhes técnicos na publicação do blog do Google Security sobre navegação segura baseada em hash e na documentação pública para desenvolvedores.
Proteções específicas da plataforma
Veja a seguir como essas proteções são implementadas em cada plataforma.
Desktop
Em todos os casos, a Brave conta com a implementação da Navegação Segura que faz parte do Chromium para fornecer essas proteções. Ele também usa as mesmas listas e serviços subjacentes do Chrome.
Observação: No momento, os avisos de navegação segura estão desativados em janelas privadas com o Tor.
Sites
A proteção de navegação tem a seguinte aparência quando detecta um site de phishing:
Você pode ignorar esse aviso clicando em Detalhes
e, em seguida, visitando esse site inseguro
:
Esse recurso pode ser testado usando a seção "Avisos de página da Web" da página de teste oficial do Google.
Downloads
A proteção de download tem a seguinte aparência quando detecta um arquivo perigoso:
Você pode ignorar esse aviso em brave://downloads
clicando em Keep dangerous
file
:
Além das verificações baseadas em URL descritas na seção anterior, os arquivos baixados passam por uma segunda verificação depois de serem totalmente baixados pelo navegador, mas antes de serem disponibilizados para o usuário. Essa verificação envolve o envio de metadados sobre o arquivo baixado (mas não o arquivo em si) para um serviço de reputação de aplicativos operado pelo Google. Esse serviço retorna um veredicto que determina qual aviso (se houver) será mostrado ao usuário.
Embora as implementações desse recurso no Chrome e no Firefox enviem o nome do arquivo, o URL do arquivo baixado e todos os URLs das páginas que o conduziram, o Brave fez uma troca diferente de segurança/privacidade e não envia nenhuma dessas informações para o servidor. A principal informação que o Brave Browser envia ao servidor operado pelo Google é o hash do arquivo, que revela apenas informações sobre arquivos que o Google já conhece. Assim como em todas as outras solicitações de rede do Safe Browsing na versão desktop do Brave, essas chamadas são enviadas por meio de um proxy operado pelo Brave para ocultar seus endereços IP.
Observe que somente determinados tipos de arquivos passam pela segunda verificação e têm seus metadados enviados ao servidor de reputação do aplicativo. Essa determinação é específica da plataforma e baseia-se no risco associado a cada tipo de arquivo. O componente Políticas de tipo de arquivo informa ao navegador como lidar com os diferentes tipos de arquivo com base em uma lista que é atualizada periodicamente pela equipe do Chrome.
Esse recurso pode ser testado usando a seção "Desktop Download Warnings" da página oficial de testes do Google.
Extensões do navegador
Esta é a aparência de uma extensão bloqueada:
No momento, essa proteção não pode ser contornada.
Além das verificações de proteção de download descritas na seção anterior, qualquer extensão de navegador que você instalar passará por uma verificação adicional. Essa verificação final envolve a verificação do ID de extensão em relação a uma lista local de prefixos de ID de extensão. No caso de uma correspondência de prefixo, os IDs de extensão completos para esse prefixo são solicitados a um serviço de reputação operado pelo Google. Esse serviço retorna um veredicto para cada extensão da lista. Isso determina qual aviso (se houver) será mostrado ao usuário e se a extensão terá ou não permissão para ser executada. Essa solicitação de rede também é enviada por proxy por meio de um servidor Brave.
A verificação do ID da extensão ocorre quando a extensão é carregada, o que normalmente acontece imediatamente após o download e, em seguida, toda vez que o navegador é reiniciado. Isso significa que uma extensão instalada que seja posteriormente sinalizada como maliciosa pelo Google pode ser desativada após o fato.
Infelizmente, não há uma maneira fácil de testar esse recurso no momento. Consulte nossa documentação wiki para obter mais detalhes.
Android
No Android, o Safe Browsing oferece a mesma proteção de site que o desktop, embora com uma lista menor de sites de phishing. A lista menor significa que nem todos os sites de phishing bloqueados no desktop serão bloqueados no Android.
Esta é a aparência da proteção de navegação no Android quando ela detecta um site de phishing. Como no desktop, esse aviso pode ser ignorado se você clicar em Detalhes
e depois visitar esse site não seguro
:
Ao contrário do navegador para desktop (que baixa e mantém suas próprias listas), a versão para Android do Brave usa um serviço fornecido pelo sistema operacional. Especificamente, ele usa a API SafetyNet do Google Play e listas no dispositivo que são compartilhadas entre todos os aplicativos que executam verificações de navegação segura. No momento, os dispositivos Android sem o Google Play Services não podem ativar a Navegação segura no Brave.
A verificação de um URL em relação às listas locais de Navegação segura segue as mesmas etapas do navegador de desktop, pois a API SafetyNet também usa a API de atualização de navegação segura. A única diferença é que todas as solicitações do serviço do sistema operacional para o servidor de Navegação segura (sejam elas originadas do aplicativo Brave ou não) são feitas diretamente e não passam por um proxy do Brave. Isso significa que o seu endereço IP pode ser visto (e registrado) pelo Google.
Esse recurso pode ser testado usando as seções "Avisos de página da Web" ou "Avisos de IOS" da página de teste oficial do Google.
A proteção contra download não está disponível em plataformas móveis. Em vez disso, os dispositivos Android contam com o Google Play Protect.
iOS
Esta é a aparência da proteção de navegação quando ela detecta um site de phishing. Você pode ignorar esse aviso clicando em Show Details
e, em seguida, visitando esse site inseguro
:
Assim como no Android, as proteções da Navegação segura no iOS são fornecidas por um serviço do sistema operacional por meio de uma configuração WKWebView. Dessa forma, todas as solicitações feitas ao servidor de Navegação segura são iniciadas pelo provedor do sistema operacional e não podem ser proxies pelo Brave.
Os dispositivos Apple usam os serviços de navegação segura do Google e da Tencent, dependendo da região. Nas versões mais recentes do iOS, essas solicitações serão enviadas por proxy pela Apple. Isso significa que o seu endereço IP pode ser visto (e registrado) pela Apple, Google ou Tencent.
Em dispositivos que usam o serviço do Google, esse recurso pode ser testado usando a seção "Avisos do IOS" da página oficial de testes do Google.
Comparação com outros navegadores
A proteção de sites no Brave para desktop ou Android é equivalente às proteções encontradas no Firefox, Safari e Chrome. Observe que não expomos o modo de proteção aprimorada que o Google oferece apenas aos usuários do Chrome (com base na opção de inclusão).
O Brave no iOS oferece a mesma proteção de site que o Safari ou qualquer aplicativo baseado no WKWebView (como o Firefox) que habilite essa opção.
A proteção de download no Brave é mais limitada do que no Chrome e no Firefox porque não enviamos nenhum URL para o servidor, portanto, essas informações não podem ser usadas para determinar o risco associado a um determinado arquivo. Na prática, isso significa que o Chrome e o Firefox bloquearão mais arquivos maliciosos do que o Brave.
A proteção de extensões do Brave é igual à do Chrome.
Como desativar a navegação segura
Se você preferir não usar a Navegação segura, basta acessar brave://settings/security
no navegador da área de trabalho para alterar as configurações para Sem proteção (não recomendado)
:
No Android, abra o menu de configurações do navegador e toque em Proteções Brave & Privacy
e, em seguida, defina a opção Navegação segura
como Sem proteção (não recomendado)
:
No iOS, abra o menu de configurações do navegador e toque em Proteções Brave & Privacy
e, em seguida, desative Block Dangerous Sites (Bloquear sites perigosos
):