Браузер Brave использует Google Safe Browsing для защиты пользователей от вредоносных сайтов. Он включен по умолчанию на всех платформах, но его можно отключить в любое время из меню настроек браузера.

Безопасный просмотр предлагает защиту в трех областях:

• Веб-сайты: блокирует фишинговые сайты, а также сайты, на которых размещено вредоносное ПО или нежелательное программное обеспечение
• Загрузки: блокирует опасное, редкое или потенциально нежелательное программное обеспечение (только для десктопов)
• Расширения для браузера: предотвращает загрузку вредоносных, уязвимых или нарушающих политику расширений и отключает уже установленные (только для десктопов)

Google работает над предоставлением самой точной и актуальной информации о небезопасных веб-ресурсах. Однако, Google не может гарантировать, что его информация является исчерпывающей и безошибочной: некоторые рискованные сайты могут не быть идентифицированы, а некоторые безопасные сайты могут быть ошибочно идентифицированы.

Система, сохраняющая конфиденциальность

Безопасный просмотр в Brave обладает следующими свойствами конфиденциальности:

• URL-адреса никогда не отправляются на сервер, управляемый Google.
• Для большинства посещений веб-сайтов запросы к серверу не выполняются.
• На десктопе браузер не подключается напрямую к серверу; вместо этого маршрутизация проходит через сервер-прокси, управляемый Brave, чтобы серверы Google никогда не видели ваши IP-адреса.

В основе Безопасного просмотра лежат списки опасных сайтов или файлов. Вместо отправки полных URL-адресов на сервер, протокол структурирован таким образом, что большая часть этих проверок выполняется локально с использованием списков, загруженных с сервера Безопасного просмотра.

Когда пользователь посещает веб-сайт с URL-адресом phishing.example/:

1. Браузер преобразует URL-адрес в bac52b0b455d4b0435379a9cb61d43cd54bcd0f17ff0a5477b2598373fd7b997 с использованием хеш-функции SHA-256.
2. Затем он обрежет этот «хеш» до bac52b0b и проверит его с локальной копией списков Безопасного просмотра.
3. Если этот префикс хеша найден в списке (и только в этом случае), браузер запросит у сервера Безопасного просмотра список всех полных хешей, которые начинаются с этого префикса (отправляется только префикс, а не полный хеш).
4. Наконец, браузер сравнит хеш URL-адреса сайта с полными хешами, которые только что получил, и покажет страницу предупреждения в случае совпадения.

Списки обновляются приблизительно каждые 30 минут, начиная случайно в течение первых 5 минут после запуска браузера. Все пользователи получают одинаковые списки. Списки считаются допустимыми в течение 45 минут и автоматически игнорируются, если они не были обновлены после этого времени. Эти списки, а также их статус и время последнего обновления можно найти по адресу brave://safe-browsing/#tab-db-manager.

Более подробные технические детали можно найти в посте в блоге безопасности Google о безопасном просмотре на основе хешей и в публичной документации для разработчиков.

Защита для конкретных платформ

Вот как эти защиты реализованы на каждой платформе.

Десктоп

Во всех случаях Brave полагается на реализацию Безопасного просмотра, которая является частью Chromium, чтобы обеспечить эти защиты. Кроме того, он использует те же базовые списки и службы, что и Chrome.

Примечание: предупреждения Safe Browsing в настоящее время отключены в приватных окнах с Tor.

Веб-сайты

Защита браузера выглядит так, когда обнаруживает фишинговый сайт:

Это предупреждение можно обойти, щелкнув Подробности, а затем посетить этот небезопасный сайт:

Эту функцию можно протестировать, используя раздел «Webpage Warnings» на официальной тестовой странице Google.

Скачивание

Защита загрузок выглядит так, когда обнаруживает опасный файл:

Это предупреждение можно обойти в brave://downloads, щелкнув Сохранить опасный файл:

Кроме проверок, основанных на URL-адресах, описанных в предыдущем разделе, загруженные файлы проходят вторую проверку после полной загрузки браузером, но до их предоставления пользователю. Эта проверка включает отправку метаданных о загруженном файле (но не самого файла) в службу репутации приложений, управляемую Google. Эта служба возвращает вердикт, который определяет, какое предупреждение (если оно есть) будет показано пользователю.

В то время как реализация этой функции в Chrome и Firefox отправляет имя файла, URL-адрес загруженного файла и любые URL-адреса страниц, которые привели к нему, Brave принял другое решение по безопасности / конфиденциальности и не отправляет эту информацию на сервер. Основная информация, которую Brave Browser отправляет на сервер, управляемый Google, это хэш файла, который раскрывает информацию только о тех файлах, которые уже известны Google. Как и все другие сетевые запросы Safe Browsing в десктопной версии Brave, эти вызовы отправляются через прокси, управляемый Brave, чтобы скрыть ваши IP-адреса.

Обратите внимание, что только определенные типы файлов проходят вторую проверку и их метаданные отправляются в сервер репутации приложений. Это решение зависит от платформы и основывается на уровне риска, связанном с каждым типом файла. Компонент File Type Policies сообщает браузеру, как обрабатывать разные типы файлов, основываясь на списке, который периодически обновляется командой Chrome.

Эту функцию можно протестировать, используя раздел «Desktop Download Warnings» на официальной тестовой странице Google.

Расширения браузера

Так выглядит заблокированное расширение:

В настоящее время эту защиту невозможно обойти.

В дополнение к проверкам защиты загрузок, описанным в предыдущем разделе, любое расширение браузера, которое вы устанавливаете, проходит дополнительную проверку. Эта последняя проверка включает проверку идентификатора расширения по локальному списку префиксов идентификаторов расширений. В случае совпадения префикса полные идентификаторы расширений для этого префикса запрашиваются у службы репутации, управляемой Google. Эта служба возвращает вердикт для каждого расширения в списке. Это определяет, какое предупреждение (если оно есть) будет показано пользователю и будет ли расширение разрешено к запуску. Также этот сетевой запрос проходит через прокси-сервер, управляемый Brave.

Проверка идентификатора расширения происходит при загрузке расширения, что обычно происходит сразу после загрузки, а затем каждый раз при перезапуске браузера. Это означает, что установленное расширение, которое позже будет признано вредоносным Google, может быть отключено после этого.

К сожалению, в настоящий момент нет простого способа протестировать эту функцию. См. нашу документацию на wiki для получения дополнительных сведений.

Android

В Android, безопасный просмотр обеспечивает такую же защиту веб-сайтов, как на рабочем столе, но со списком фишинговых сайтов меньшего размера. Меньший список означает, что не все фишинговые сайты, заблокированные на рабочем столе, будут заблокированы на Android.

Это то, как выглядит защита просмотра на Android, когда обнаружен фишинговый сайт. Как и на рабочем столе, это предупреждение можно обойти, нажав Подробнее, а затем посетить этот небезопасный сайт:

В отличие от настольного браузера (который скачивает и поддерживает собственные списки), версия Brave для Android использует сервис, предоставляемый операционной системой. В частности, она использует SafetyNet Google Play API и списки на устройстве, которые общие для всех приложений, выполняющих проверки безопасного просмотра. Устройства Android без служб Google Play в настоящее время не могут включить безопасный просмотр в Brave.

Проверка URL-адреса по локальным спискам безопасного просмотра выполняется по тем же шагам, что и в настольном браузере, так как API SafetyNet также использует API обновления безопасного просмотра. Единственное отличие заключается в том, что любые запросы от службы операционной системы к серверу безопасного просмотра (независимо от того, исходят ли они из приложения Brave или нет) выполняются напрямую и не проходят через прокси Brave. Это означает, что ваш IP-адрес может быть виден (и зафиксирован) Google.

Эту функцию можно протестировать, используя разделы «Предупреждения на веб-странице» или «Предупреждения IOS» на официальной тестовой странице Google.

Защита загрузок недоступна на мобильных платформах. Устройства на Android вместо этого полагаются на Google Play Protect.

iOS

Вот как выглядит защита просмотра при обнаружении фишингового сайта. Это предупреждение можно обойти, нажав Показать подробности, а затем посетить этот небезопасный сайт:

Как и в Android, защита безопасного просмотра на iOS предоставляется службой операционной системы через настройку WKWebView. Таким образом, любые запросы, сделанные на сервер безопасного просмотра, инициированы поставщиком операционной системы и не могут быть проксированы Brave.

Устройства Apple используют сервисы безопасного просмотра Google и Tencent, в зависимости от региона. В последних версиях iOS эти запросы будут проксированы Apple. Это означает, что ваш IP-адрес может быть виден (и зафиксирован) Apple, Google или Tencent.

На устройствах, которые используют сервис Google, эту функцию можно протестировать, используя раздел «Предупреждения IOS» на официальной тестовой странице Google.

Сравнение с другими браузерами

Защита веб-сайтов в Brave для десктопов или Android эквивалентна защите, доступной в Firefox, Safari и Chrome. Обратите внимание, что мы не предлагаем расширенный режим защиты, который Google предлагает только пользователям Chrome (на основе opt-in).

Brave на iOS предлагает такую же защиту сайтов, как Safari или любое приложение на основе WKWebView (такое как Firefox), которое включает эту опцию.

Защита загрузок в Brave более ограничена, чем в Chrome и Firefox, из-за того, что мы не отправляем никакие URL-адреса на сервер, поэтому эта информация не может быть использована для определения риска, связанного с файлом. На практике это означает, что Chrome и Firefox будут блокировать больше вредоносных файлов, чем Brave.

Защита расширений в Brave такая же, как в Chrome.

Отказ от безопасного просмотра

Если вы предпочитаете не использовать безопасный просмотр, просто зайдите на brave://settings/security в своем настольном браузере, чтобы изменить настройки на Без защиты (не рекомендуется):

На Android откройте меню настроек браузера и выберите Brave Shields & Privacy, затем установите опцию Safe Browsing на Без защиты (не рекомендуется):

На iOS откройте меню настроек браузера и выберите Brave Shields & Privacy, затем отключите Block Dangerous Sites: