一旦Vivaldi用户考虑到他的浏览器联系的服务。
他启动了网络活动扫描程序,并惊恐地看到许多自动浏览器与Vivaldi甚至Google服务器的自动连接。
恢复意识后,这样的用户开始向我们发送错误消息,描述个人用户数据如何像河流一样流入第三方服务器。
但是,大多数这些好奇的用户不会给我们写任何东西,而只是为自己得出结论,维瓦尔第在监视他们的活动,甚至不时与Google“合并”细节。 好吧,为什么会感到惊讶-毕竟,
其他浏览器会毫不犹豫地监视其用户的活动并将详细信息发送给该浏览器的开发人员。
这类好奇的用户很可能收到监视浏览器活动的不正确结果(在本文结尾处,您将找到有关如何获得最可靠结果的说明)。
实际上,尽管
Vivaldi浏览器使用的浏览器与Chrome相同 ,并且还使用了Google的某些功能和安全组件,但浏览器中所有工作细节都是不公开的-对Vivaldi开发人员和来自第三方服务的所有者。 Vivaldi不会收集有关您在网络上的活动的详细统计信息,并且与某些其他浏览器不同,它甚至没有关于您希望在日常工作中使用哪种浏览器功能的信息。
在本文中,我们将考虑Vivaldi访问外部服务的每种情况,并说明为什么这样做是必要的。 我们将告诉您完成全部工作所需的信息和服务,以便您可以舒适安全地在网络上工作。
目录内容
- Google服务器请求
一个 可下载的组件
b。 安全浏览数据
c。 下载保护
d。拼写检查
其他活动 - Vivaldi服务器请求
一个 用户统计
b。 访问不需要的广告数据库
c。 检查自动更新 - 用户生成的查询
一个 同步处理
b。 网站通知
c。 已安装的扩展 - 为什么网络活动扫描仪无法显示完整图片
Google服务器请求
可下载的组件
Vivaldi的某些功能取决于Chromium / Google开发人员提供的独立开发和更新的组件。 这些组件可以在特殊的Vivaldi浏览器内部页面上查看:
vivaldi://组件
这些组件是
浏览器的
构建块 。 它们允许基于Chromium的浏览器通过从代码库添加新功能来扩展其功能。
其中最重要的是可提高网络安全性的证书助手和CRLset,以及负责播放受DRM保护的在线视频(例如,使用Netflix)的Widevine模块。
在计算机上首次启动Vivaldi之后,将立即下载并在浏览器中安装这些组件。 浏览器将检查版本的相关性,并在此时安装最新版本。
最初的下载请求将发送到服务器update.googleapis.com和client2.google.com,但将来数据可以通过或来自诸如redirector.gvt1.com或什至r3---sn-8xouxav-vnas.gvt1.com之类的服务器。 。
Cookie:否
控制:vivaldi中的ComponentUpdatesEnabled策略://策略
在线描述:
cs.chromium.org/chromium/src/components/update_client/net/network_impl.cc?l = 24&rcl = 17b2adf184fb218b6096a359b8a06a92be6d22d7安全浏览数据
SafeBrowsing组件用于保护用户免受恶意站点的攻击,这些站点提供例如下载带有病毒和其他感染的某些软件。 该组件可与Google创建和维护的黑名单配合使用,Vivaldi每天在safebrowsing.google.com服务器上多次访问此列表。
以前,SafeBrowsing与所谓的Bloom过滤器一起工作,但现在使用的是更简单的系统。
现在,该系统通过创建要访问的网站URL(以及URL的一部分)的哈希(加密校验和)来工作。 为了确定用于加密的实际代码,很难解密此哈希,也有可能使用了几种不同的代码来创建此哈希(但也很难找到它们,这就是校验和的含义)。 系统使用一个小的散列来搜索主列表,以查找URL至少一部分是否存在黑名单条目。 在肯定响应的情况下,将为每个匹配项发送一个请求,并且服务器将以与所有前缀匹配的所有全尺寸哈希表作为响应。
如果这些完整哈希中的任何一个与任何生成的哈希匹配,则该URL被阻止,因为它很可能属于恶意网站。
由于仅将URL哈希值(或其一部分)的荣誉发送给SafeBrowsing服务器,因此该服务将看不到您正在访问的网站的完整地址或与之匹配的完整哈希值。
Cookie:某些模式要求使用Cookie,但需要使用隔离的Cookie存储区,该存储区不会与其他网站共享。
控件:Chrome://设置/ syncSetup
在线描述:
cs.chromium.org/chromium/src/chrome/browser/safe_browsing/client_side_model_loader.cc?l = 125&rcl = 2b5ee7a019262c57d80b2740925a5226abe97bb4cs.chromium.org/chromium/src/components/safe_browsing/db/v4_get_hash_protocol_manager.cc?l=305&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7cs.chromium.org/chromium/src/components/safe_browsing/db/v4_update_protocol_manager.cc?l=312&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7默认情况下处于禁用状态:仅加载可疑网址
控件:Chrome中的“帮助改善页面浏览和搜索”选项://设置/ syncSetup
联机描述:
cs.chromium.org/chromium/src/components/safe_browsing/realtime/url_lookup_service.cc?l=54下载保护
例如,当您下载Windows的安装程序时,它可能是对您的计算机,木马或其他
恶意软件有害的程序 。 为了保护用户免受此类“礼物”的侵害,Chromium中的SafeBrowsing代码和Vivaldi浏览器本身会检查网址是否存在黑名单或下载白名单。 如果无法在本地验证下载文件的安全性,则会将更详细的信息发送到SafeBrowsing服务器-下载文件的URL,引荐链接,下载文件的哈希,可用的任何认证信息以及从服务器接收到的响应,以确定文件是否安全。
不幸的是,没有这些附加信息就很难确定文件的信誉,因为恶意软件供应商可以更改下载URL的实际签名和实际下载,但通常,其他一些部分必须保持不变。 在将URL和引荐链接添加到经过验证的数据列表之前,确实有一些攻击绕过了保护措施。
Mozilla Firefox使用相同的系统。
Cookies:从SafeBrowsing隔离存储中允许使用(用于计算唯一身份用户)
控件:Chrome中的安全浏览设置://设置/ syncSetup
联机说明:
cs.chromium.org/chromium/src/chrome/浏览器/safe_browsing/download_protection/check_client_download_request_base.cc?l=568&rcl=17b2adf184fb218b6096a359b8a06a92be6d22d7拼写检查
Vivaldi使用从Chromium继承的拼写系统。 输入文字时,此功能可帮助您避免输入错误。 该系统从Google的服务器上从网络上下载字典,以便使用redirector.gvt1.com服务器对输入文本进行本地验证。
Cookie:否
控制:chrome://设置/语言
联机说明:
cs.chromium.org/chromium/src/chrome/browser/spellchecker/spellcheck_hunspell_dictionary.cc?rcl = 95bfa1651b4e2e843fa06ead8506e22f178c00f8&l = 282其他活动
铬代码可以在某些条件下测试网络,以查看它是否在“劫持门户”中,例如公共WiFi网络门户,需要登录或单击以接受EULA。
Cookie:否
控制:chrome://设置/语言
在线描述:
cs.chromium.org/chromium/src/chrome/browser/captive_portal/captive_portal_service.cc?rcl = ee1c95127800309d94e5457d41983d326fda1fcf&l = 252Vivaldi服务器请求
用户统计
最近,我们决定更改对用户进行计数的方式,因为有些人将唯一标识符的使用视为一种跟踪形式。 我们目前正在引入一种不需要唯一标识符的新的用户计数方法。
在我们完全删除唯一标识符之前,我们将通过几个步骤来确保新代码能够按预期运行,并且我们可以信任此计数器报告的数字。 有关更多信息,请查看这篇文章,解释
我们如何查看用户 。
访问不需要的广告数据库
今年早些时候,我们
引入了自己的支持,以阻止在广告做法不公平的网站上刊登广告,例如误导性广告或阻止您离开网站的广告。 使用Google提供的列表来实现此功能。 此列表不是直接从Google下载的。 相反,它是在对内部服务器从Google上传的列表进行简单的预处理之后,将其托管在我们自己的服务器上。 该列表每天由浏览器从服务器自动更新,并应用于侵入性网站,而不必每次都与服务器联系。
检查自动更新
Windows和Mac的Vivaldi版本会不断检查我们的服务器是否有浏览器更新。 如果需要,可以在设置中禁用该选项。
用户生成的查询
同步处理
在Vivaldi中激活内置同步时,您使用login.vivaldi.net服务器登录到Vivaldi社区网站上的帐户,并且同步本身通过bifrost.vivaldi.com服务器进行。
网站通知
当您允许某个站点(例如新闻站点)向您发送通知时,该站点将在您的浏览器中安装一个小的脚本,该脚本指示接收通知的位置。 有几个服务提供商,网站决定使用哪个。 其中之一是位于mtalk.google.com的Google Cloud Messaging(GCM)。 该系统的相应内部URL为:
chrome://设置/内容/通知
chrome://设置/ siteData
vivaldi:// gcm-内部
已安装的扩展
用户安装的扩展程序可以连接到其开发人员自己的站点,以请求更新或报告各种使用情况数据。 绝对不是维瓦尔第可以控制局势的地方。 我们始终鼓励用户
谨慎选择扩展名 ,并确保
扩展的供应商是可靠的。
为什么网络活动扫描仪无法显示完整图片
运行网络活动扫描程序的用户通常仅使用网络活动监视器。 在这种情况下,将执行反向DNS查找,结果将显示“任意”主机名。
同时,例如,与Vivaldi连接的Google服务器位于多个服务器上的大型服务器园区中,甚至位于多个地理位置,并且这些服务器中的每一个都有唯一的主机名。 此唯一名称是在反向DNS索引中为其IP地址注册的。
您不太可能会收到由Google,Amazon或Microsoft使用的主要服务器场的IP地址上托管的服务器的完整列表,也不太可能包含客户端实际连接到的服务器的名称。
找出客户端连接到哪个服务器的最佳方法是侦听DNS查询和响应。 这将准确告诉您浏览器连接到的服务器。
观察正在发生的事情的更好的方法是使用Vivaldi提供的信息。 使用参数--enable-logging = stderr --v = 1启动Vivaldi。 结果,将创建一个数据包,并将其保存在User Data安装目录的chrome_debug.log文件中,并且在显示的数据中将包含带有以下文本的行:NetworkDelegate :: NotifyBeforeURLRequest:。 这将指示浏览器请求了哪些URL。
总之,没有一种自动化服务会将有关您的在线活动的数据或统计信息发送到Vivaldi或Google。
Luca Bravo在Unsplash上拍摄的照片。
阅读更多:
Vivaldi:使用Chromium构建,但与Chrome不同Vivaldi强大的隐私设置浏览器如何保护您的隐私维瓦尔第的商业模式是什么?原始文章的作者:Vivaldi Software安全专家Yngve Pettersen