Una vez que un usuario de Vivaldi piensa en qué servicios contacta su navegador.
Lanza un escáner de actividad de red y mira con horror las numerosas conexiones automáticas del navegador a Vivaldi o incluso a los servidores de Google.
Al recuperar la conciencia, dicho usuario comienza a enviarnos mensajes de error que describen cómo los datos personales del usuario fluyen como un río a servidores de terceros.
Sin embargo, la mayoría de estos usuarios curiosos no nos escribirán nada, sino que simplemente concluirán por sí mismos que Vivaldi cursi espía su actividad e incluso "fusiona" detalles con Google de vez en cuando. Bueno, por qué sorprenderse: después de todo,
otros navegadores no dudan en monitorear la actividad de sus usuarios y enviar detalles a los desarrolladores del navegador.
Lo más probable es que estos usuarios curiosos reciban resultados incorrectos al monitorear la actividad del navegador (al final del artículo encontrará instrucciones sobre cómo obtener los resultados más confiables).
De hecho, a pesar de que el
navegador Vivaldi usa el mismo motor que Chrome , y también usa algunas funciones y componentes de seguridad de Google, todos los detalles de su trabajo en el navegador permanecen privados, ocultos tanto para los desarrolladores de Vivaldi como para los desarrolladores. de propietarios de servicios de terceros. Vivaldi no recopila estadísticas detalladas de su actividad en la red y, a diferencia de otros navegadores, ni siquiera tiene información sobre qué funciones de navegador prefiere usar en el trabajo diario.
En este artículo, consideraremos cada caso de Vivaldi accediendo a servicios externos y explicaremos por qué esto es necesario. Le diremos qué información y qué servicio se requiere para un trabajo completo para que pueda trabajar en la red de manera cómoda y segura.
Contenido
- Solicitudes del servidor de Google
a. Componentes descargables
b. Datos para la navegación segura
c. Descargar protección
d. Corrector ortográfico
Otra actividad - Solicitudes de servidor Vivaldi
a. Estadísticas de usuario
b. Acceder a la base de datos de anuncios no deseados
c. Buscar actualizaciones automáticas - Consultas generadas por el usuario
a. Sincronización
b. Notificaciones del sitio web
c. Extensiones instaladas - Por qué los escáneres de actividad de red no muestran una imagen completa
Solicitudes del servidor de Google
Componentes descargables
Algunas características de Vivaldi dependen de componentes desarrollados y actualizados independientemente proporcionados por los desarrolladores de Chromium / Google. Estos componentes se pueden ver en la página interna especial del navegador Vivaldi:
vivaldi: // componentes
Estos componentes son los
componentes básicos del navegador . Permiten a los navegadores basados en Chromium expandir su funcionalidad al agregar nuevas funciones desde la base del código.
Los más importantes son Certificate Assistant y CRLset, que aumentan la seguridad de la red, así como el módulo Widevine, que se encarga de reproducir videos en línea protegidos con DRM (por ejemplo, con Netflix).
Estos componentes se descargan e instalan en el navegador inmediatamente después del primer lanzamiento de Vivaldi en su computadora. El navegador verificará la relevancia de las versiones e instalará las últimas en este momento.
La solicitud de descarga inicial se envía a los servidores update.googleapis.com y clients2.google.com, pero en el futuro los datos pueden llegar a través de servidores como redirector.gvt1.com o incluso r3---sn-8xouxav-vnas.gvt1.com .
Cookies: no
Control: ComponentUpdatesEnabled policy en vivaldi: // policy
Descripción en línea:
cs.chromium.org/chromium/src/components/update_client/net/network_impl.cc?l=24&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7Datos para la navegación segura
El componente SafeBrowsing se usa para proteger a los usuarios de sitios maliciosos que ofrecen, por ejemplo, descargar cierto software con virus y otras infecciones. El componente funciona con una lista negra creada y mantenida por Google, y Vivaldi accede a esta lista varias veces al día en el servidor safebrowsing.google.com.
Anteriormente, SafeBrowsing funcionaba con el llamado filtro Bloom, pero ahora se utiliza un sistema más simple.
Ahora el sistema funciona creando un hash (suma de verificación criptográfica) de la URL del sitio web (así como partes de la URL) que va a visitar. Este hash es muy difícil de descifrar para determinar el código real utilizado para el cifrado, también es posible que se hayan utilizado varios códigos diferentes para crear este hash (pero también es muy difícil encontrarlos, este es el significado de la suma de comprobación). El sistema utiliza un pequeño hash para buscar en la lista principal y descubrir si puede haber una entrada en la lista negra para al menos una parte de la URL. En caso de una respuesta positiva, se envía una solicitud para cada una de las coincidencias y el servidor responde con una lista de todos los hashes de tamaño completo que coinciden con cualquiera de los prefijos.
Si alguno de estos hashes completos coincide con alguno de los hashes generados, esta URL se bloquea debido a que probablemente pertenezca a un sitio web malicioso.
Dado que solo el honor del hash de la URL (o parte de ella) se envía al servidor SafeBrowsing, el servicio no verá la dirección completa del sitio web que está visitando o qué hash completo coincide con él.
Cookies: algunos modos requieren cookies, pero de una tienda de cookies aislada que no se comparte con otros sitios web.
Control: chrome: // settings / syncSetup
Descripción en línea:
cs.chromium.org/chromium/src/chrome/browser/safe_browsing/client_side_model_loader.cc?l=125&rcl=2b5ee7a019262c57d80b2740925a5226abe97bb4cs.chromium.org/chromium/src/components/safe_browsing/db/v4_get_hash_protocol_manager.cc?l=305&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7cs.chromium.org/chromium/src/components/safe_browsing/db/v4_update_protocol_manager.cc?l=312&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7Deshabilitado por defecto: solo se cargan las URL sospechosas
Control: opción "Ayuda a mejorar la navegación y la búsqueda de páginas" en chrome: // settings / syncSetup
Descripción en línea:
cs.chromium.org/chromium/src/components/safe_browsing/realtime/url_lookup_service.cc?l=54Descargar protección
Cuando descarga, por ejemplo, el instalador para Windows, puede resultar un programa peligroso para su computadora, un troyano u otro
software malicioso . Para proteger a los usuarios de tales "obsequios", el código SafeBrowsing en Chromium y el navegador Vivaldi comprueban las URL para ver si están ausentes en la lista negra o la presencia de listas blancas de descargas. Si no es posible verificar localmente la seguridad del archivo descargado, se envía información más detallada al servidor SafeBrowsing: la URL del archivo descargado, un enlace de referencia, el hash del archivo descargado, cualquier información de certificación disponible y una respuesta del servidor determina si el archivo es seguro o no.
Desafortunadamente, es muy difícil determinar la reputación del archivo sin esta información adicional, ya que los proveedores de malware pueden cambiar tanto las firmas reales de las URL de descarga como las descargas reales, pero, por regla general, algunas otras partes deben permanecer igual. Hubo ataques reales que eludieron la protección antes de que la URL y los enlaces de referencia se agregaran a la lista de datos verificados.
El mismo sistema se usa en
Mozilla Firefox .
Cookies: permitidas desde el almacenamiento aislado SafeBrowsing (para contar usuarios únicos)
Control: configuración de SafeBrowsing en Chrome: // settings / syncSetup
Descripción en línea:
cs.chromium.org/chromium/src/chrome/browser/safe_browsing/download_protection/check_client_download_request_base.cc?l=568&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7Corrector ortográfico
Vivaldi utiliza un sistema de ortografía heredado de Chromium. Cuando ingresas texto, esta función te ayuda a evitar errores tipográficos. Este sistema descarga diccionarios de la red desde los servidores de Google para la verificación local del texto de entrada usando los servidores redirector.gvt1.com.
Cookies: no
Control: chrome: // configuración / idiomas
Descripción en línea:
cs.chromium.org/chromium/src/chrome/browser/spellchecker/spellcheck_hunspell_dictionary.cc?rcl=95bfa1651b4e2e843fa06ead8506e22f178c00f8&l=282Otra actividad
El código de Chromium puede, bajo ciertas condiciones, probar la red para ver si se encuentra en un "portal secuestrado", como el portal de red WiFi pública, que requiere un inicio de sesión o haga clic para aceptar EULA.
Cookies: no
Control: chrome: // configuración / idiomas
Descripción en línea:
cs.chromium.org/chromium/src/chrome/browser/captive_portal/captive_portal_service.cc?rcl=ee1c95127800309d94e5457d41983d326fda1fcf&l=252Solicitudes de servidor Vivaldi
Estadísticas de usuario
Recientemente, decidimos cambiar la forma en que contamos a nuestros usuarios porque algunas personas perciben el uso de identificadores únicos como una forma de seguimiento. Actualmente estamos introduciendo un nuevo método para contar usuarios que no requiere identificadores únicos.
Antes de que podamos eliminar por completo el identificador único, realizaremos varios pasos para asegurarnos de que el nuevo código funcione según lo previsto y que podamos confiar en los números informados por este contador. Para obtener más información, consulte este artículo que explica
cómo vemos a nuestros usuarios .
Acceder a la base de datos de anuncios no deseados
A principios de este año,
presentamos nuestro propio soporte de bloqueo de anuncios para sitios con prácticas publicitarias injustas, como anuncios engañosos o anuncios que le impiden abandonar el sitio. Esta funcionalidad se implementa mediante una lista proporcionada por Google. Esta lista no se descarga directamente de Google. En cambio, se aloja en nuestros propios servidores después de un simple preprocesamiento de la lista cargada por nuestro servidor interno de Google. La lista se actualiza diariamente desde el servidor automáticamente por el navegador y se aplica a sitios web intrusivos sin tener que contactar al servidor cada vez.
Buscar actualizaciones automáticas
Las versiones de Vivaldi para Windows y Mac comprueban constantemente nuestros servidores en busca de actualizaciones del navegador. La opción está desactivada en la configuración si lo desea.
Consultas generadas por el usuario
Sincronización
Cuando activa la sincronización integrada en Vivaldi, inicia sesión en su cuenta en el sitio web de la comunidad Vivaldi utilizando el servidor login.vivaldi.net, y la sincronización en sí se realiza a través del servidor bifrost.vivaldi.com.
Notificaciones del sitio web
Cuando permite que un sitio (como un sitio de noticias) le envíe notificaciones, el sitio instala una pequeña secuencia de comandos en su navegador que indica dónde recibir las notificaciones. Hay varios proveedores de servicios para esto, y el sitio web decide cuál usar. Uno de ellos es Google Cloud Messaging (GCM), ubicado en mtalk.google.com. Las URL internas correspondientes para este sistema son:
Chrome: // configuración / contenido / notificaciones
chrome: // settings / siteData
vivaldi: // gcm-internals
Extensiones instaladas
Las extensiones instaladas por el usuario pueden conectarse al sitio de su desarrollador para solicitar actualizaciones o para informar varios datos de uso. Definitivamente, aquí no es donde Vivaldi puede controlar la situación. Siempre alentamos a nuestros usuarios a
elegir cuidadosamente sus extensiones y asegurarnos de que los proveedores de las extensiones sean confiables.
Por qué los escáneres de actividad de red no muestran una imagen completa
Los usuarios que ejecutan escáneres de actividad de red generalmente usan solo el monitor de actividad de red. En este caso, se realiza una búsqueda DNS inversa, como resultado de lo cual se muestra un nombre de host "arbitrario".
Mientras tanto, por ejemplo, los servidores de Google a los que Vivaldi se conecta están ubicados en grandes parques de servidores en varios servidores, incluso en varias ubicaciones geográficas, y cada uno de estos servidores tiene un nombre de host único. Es este nombre único el que está registrado en el índice DNS inverso para su dirección IP.
Es muy poco probable que reciba una lista completa de servidores alojados en esta dirección IP de las principales granjas utilizadas por Google, Amazon o Microsoft, o que contendrá el nombre del servidor al que está realmente conectado el cliente.
La mejor manera de averiguar a qué servidores se conecta el cliente es escuchar las consultas y respuestas de DNS. Esto le dirá exactamente a qué servidores se está conectando su navegador.
Una forma aún mejor de ver lo que está sucediendo es utilizar la información proporcionada por Vivaldi. Inicie Vivaldi con el argumento --enable-logging = stderr --v = 1. Como resultado, se creará un paquete de datos, guardado en el archivo chrome_debug.log en el directorio de instalación de Datos de usuario, y entre los datos presentados habrá líneas con el siguiente texto: NetworkDelegate :: NotifyBeforeURLRequest:. Esto indicará qué URL fueron solicitadas por el navegador.
En conclusión, ninguno de los servicios automatizados envía datos o estadísticas sobre su actividad en línea a Vivaldi o Google.
Foto de Luca Bravo en Unsplash.
Leer más:
Vivaldi: construido con cromo, pero diferente de ChromeLa potente configuración de privacidad de VivaldiCómo un navegador protege su privacidad¿Cuál es el modelo de negocio de Vivaldi?Autor del
artículo original : Yngve Pettersen, experto en seguridad, software Vivaldi