在 Brave 中的安全瀏覽 追蹤
Brave 瀏覽器使用 Google 安全瀏覽 來保護用戶免受惡意網站的侵害。 在所有平台上預設啟用,但可以隨時從瀏覽器設定菜單關閉。
安全瀏覽在以下三個方面提供保護:
- 網站: 阻擋釣魚網站及那些託管惡意軟件或 不需要的軟件 的網站
- 下載: 阻擋危險、不常見或潛在的不需要軟件(僅限桌面版)
- 瀏覽器擴展: 防止你下載惡意、容易受到攻擊或違反政策的擴展,並禁用已安裝的擴展(僅限桌面版)
Google 致力於提供最準確和最新的不安全網頁資源信息。 但是,Google 不能保證其信息是全面且無誤的:一些風險網站可能未被識別,一些安全網站也可能被錯誤識別。
一個隱私保護系統
在 Brave 中的安全瀏覽具有以下隱私屬性:
- URL 從未發送到 Google 操作的伺服器。
- 絕大多數網站訪問不會導致伺服器請求。
- 在桌面版,瀏覽器不會直接連接到伺服器;相反,它會通過 Brave 操作的代理伺服器進行路由,這樣 Google 伺服器永遠不會看到你的IP地址。
安全瀏覽的核心是危險網站或文件的列表。 與其將完整的URL提交到伺服器,不如讓該協議結構化,以便這些檢查大部分在本地使用從安全瀏覽伺服器下載的列表進行。
當用戶訪問URL為phishing.example/的網站時:
- 瀏覽器將使用 SHA-256 哈希函數將 URL 轉換為
bac52b0b455d4b0435379a9cb61d43cd54bcd0f17ff0a5477b2598373fd7b997。 - 然後它會將這個「哈希」截斷為
bac52b0b並將其與本地副本的安全瀏覽列表進行比對。 - 如果在列表中找到此散列前綴(只有在這種情況下),瀏覽器會向安全瀏覽伺服器詢問所有完整大小的散列列表,這些散列都以該前綴開頭(僅發送前綴,不發送完整散列)。
- 最後,瀏覽器將比較網站URL的散列與其剛剛接收到的完整散列,如果匹配,則顯示警告頁面。
大約每30分鐘更新一次列表,從瀏覽器啟動後的前5分鐘內隨機開始。 所有用戶收到相同的列表。 列表在45分鐘內有效,如果之後沒有刷新,則會自動忽略。 你可以在 brave://safe-browsing/#tab-db-manager 中找到這些列表以及狀態和上次更新的時間。
有更多技術細節可以在 Google 安全部落格關於基於哈希的安全瀏覽文章,以及 公共開發者文檔 中找到。
平台特定的保護
以下是每個平台如何實現這些保護的情況。
桌面版
在所有情況下,Brave 依靠作為 Chromium 一部分的安全瀏覽實現來提供這些保護。 它還使用與 Chrome 相同的底層列表和服務。
注意:在 與 Tor 一起使用的私人窗口 中,目前已禁用安全瀏覽警告。
網站
當偵測到釣魚網站時,瀏覽保護看起來像這樣:
可以通過點擊 詳細資訊,然後再點擊 訪問此不安全的網站 來繞過該警告:
可以使用官方 Google 測試頁面 的“網頁警告”部分來測試此功能。
下載
當偵測到危險文件時,下載保護看起來像這樣:
可以從 brave://downloads 通過點擊 保留危險文件 來繞過此警告:
除了在前一部分中描述的基於網址的檢查之外,下載的文件在完全下載後但在可供用戶使用之前會經過第二次檢查。 此檢查涉及將元數據(但不是文件本身) 發送給由 Google 運營的應用程序聲譽服務。 此服務返回裁決,以決定將向用戶顯示哪個警告(如果有的話)。
Brave 瀏覽器發送到 Google 運營的伺服器的主要信息是文件的雜湊,這只會揭示 Google 已經知道的文件信息。 雖然 Chrome 和 Firefox 的此功能實現會發送文件名、下載文件的網址以及導致那裡的任何網頁網址,但 Brave 做出了不同的安全/隱私權衡,並且不會將任何此類信息發送到伺服器。 請注意,只有某些類型的文件會經過第二次檢查並將其元數據發送到應用程序聲譽伺服器。
此確定是特定於平台的,並基於與每種類型文件相關的風險。 如 Brave 桌面版本中的所有其他安全瀏覽網絡請求一樣,這些調用通過 Brave 運營的代理發送以隱藏您的 IP 地址。 “文件類型政策”組件告訴瀏覽器如何根據 Chrome 團隊定期更新的一份列表 處理不同類型的文件。
可以使用官方 Google 測試頁面 的“桌面下載警告”部分來測試此功能。
瀏覽器擴展
這是被屏蔽的擴展看起來的樣子:
除了前一部分中描述的下載保護檢查之外,您安裝的任何瀏覽器擴展都會進行額外檢查。
除了在前一部分中描述的下載保護檢查之外,您安裝的任何瀏覽器擴展都會經過額外檢查。 如果存在前綴匹配,則針對該前綴的所有擴展 ID 將從 Google 運營的聲譽服務請求完整擴展 ID。 此服務返回裁決,每個列表中的擴展 ID。 此服務返回裁決,每個列表中的擴展 ID。 此決定將向用戶顯示哪個警告(如果有的話),以及是否允許該擴展運行。 這個網絡請求也通過 Brave 服务器進行代理。
擴展 ID 檢查在加載擴展時進行,通常在下載後立即發生,然後每次重新啟動瀏覽器時進行。 這意味著,如果已安裝的擴展後來被Google標記為惡意,則可以在事後禁用它。
不幸的是,目前沒有簡單的方法來測試此功能。 請參閱我們的維基文檔以獲取更多詳細資訊。
Android
在 Android 上,安全瀏覽提供與桌面版相同的網站保護,但釣魚網站列表較小。 較小的列表意味著並非所有在桌面上阻止的釣魚網站在Android上都會被阻止。
這就是當Android檢測到釣魚網站時瀏覽保護的樣子。 與桌面類似,這個警告可以通過點擊詳細信息,然後點擊訪問此不安全網站來繞過:
與桌面瀏覽器(下載並維護自己的列表)不同,Brave 的 Android 版本利用了由操作系統提供的一項服務。 具體而言,它使用SafetyNet Google Play API和虛擬設備上的列表,這些列表在執行安全瀏覽檢查的所有應用程序之間共享。 沒有 Google Play 服務的 Android 設備暫時無法在 Brave 中啟用安全瀏覽。
檢查 URL 是否在本地安全瀏覽列表中,與桌面瀏覽器的步驟相同,因為SafetyNet API 也使用安全瀏覽更新 API。 唯一的區別是,無論來自 Brave 應用程序與否,從操作系統服務到安全瀏覽伺服器的任何請求(無論它們是否來自Brave 應用程序)都是直接完成的,不會通過 Brave 代理。 這意味著您的 IP 地址可能會被 Google 看到(並記錄)。
可以使用官方Google 測試頁面中的“網頁警告”或“iOS 警告”部分來測試此功能。
下載保護在移動平台上不可用。 Android 設備則依賴Google Play Protect。
iOS
這就是當 iOS 檢測到釣魚網站時瀏覽保護的樣子。 這個警告可以通過點擊顯示詳細信息然後點擊訪問此不安全網站來繞過:
與 Android 一樣,iOS 上的安全瀏覽保護由操作系統服務通過WKWebView 設定提供。 因此,任何向安全瀏覽服務器發出的請求都是由操作系統提供商發起的,無法通過 Brave 代理。
視乎區域而定,Apple 設備使用Google 和騰訊的安全瀏覽服務。 在最新版本的 iOS 中,這些請求將由Apple 代理。 這意味著您的 IP 地址可能會被 Apple、Google 或騰訊看到(並記錄)。
在使用 Google 服務的設備上,此功能可以使用官方Google 測試頁面中的“iOS 警告”部分來測試。
與其他瀏覽器比較
Brave 適用桌面版或 Android 版的網站保護等同於 Firefox、Safari 和 Chrome中的保護。 請注意,我們不會向 Chrome 用戶(根據選擇性使用)公開 Google 提供的增強保護模式。
iOS上的Brave提供與Safari或任何基於WKWebView的應用程序(如Firefox)相同的網站保護,前提是啟用了該選項。
由於我們不會將任何URL發送到該伺服器,因此Brave中的下載保護比Chrome和Firefox中的更有限,因此無法使用此信息來確定與給定文件相關的風險。 實際上,這意味著相比於Brave,Chrome和Firefox將阻止更多惡意文件。
Brave的擴展保護與Chrome的相同。
選擇退出安全瀏覽
如果您不希望使用安全瀏覽,只需訪問桌面瀏覽器中的 brave://settings/security ,並將設置更改為No protection(不推薦):
在Android上,打開瀏覽器設定菜單,點擊Brave 盾牌 & 隱私,然後將安全瀏覽選項設置為No protection(不推薦):
在iOS上,打開瀏覽器設定菜單,點擊 Brave 盾牌 & 隱私,然後禁用阻止危險網站: