Cesaretin Bedeli: Brave Tarayıcı Gizlilikten Ödün Veriyor

Kategori: Web Güvenliği - Güncellenme: 18 Şubat 2019 - Ziyahan Albeniz

Brave tarayıcı Javascript'in mucidi ve eski bir Mozilla Vakfı çalışanı olan Brendan Eich tarafından geliştirilen bir tarayıcı.

"Ürün değilsin" mottosu ile kullanıcılarına gizlilik ve güvenlik vaad eden Brave tarayıcı, aynı zamanda web reklam ekosistemine de bambaşka bir yaklaşım getiriyor.

Reklam verenleri daha ilgili bir kitle ile buluştururken, ziyaretçileri ise webde her an karşılarına çıkması muhtemelen olan rahatsız edici reklamlardan koruyarak, bunu ziyaretçiler için dilerlerse bir kazanca dönüştürmeyi vaad ediyor.

Brave tarayıcı webde izlenmeyi (tracking) engellemek için üçüncü parti istekleri, üçüncü parti cookie'leri engelliyor. Üstelik bunu kullanıcıyı herhangi bir ekstra araç kurmak zorunda bırakmadan başarıyor.

Chrome ve Safari'den 8 kat daha hızlı olduğunu iddia eden Brave, sadece bir tarayıcı değil webin nasıl olması gerektiğine dair de bir fikir ve proje olduklarını belirtiyor.

Biz elbette bu yazıyı bir Brave güzellemesi için yazmadık. Yazının amacı 10 Şubat tarihinde Twitter'da vuku bulan bir tartışmayı irdelemek.

tweet

AndrewBlejde isimli Twitter kullanıcısı Brave'in yazarlarından Brendan Eich'i mentionlayarak, tarayıcının reposundaki bir güncellemenin ne anlama geldiğini sordu.

Yaklaşık 3 yıl önce tarayıcının Github reposuna eklenen kod, üçüncü parti bileşenler için birtakım adresleri whitelist ediyordu. Kullanıcıları izlemek konusunda kötü şöhrete sahip Facebook'a ait URL'ler de bu listenin içerisinde idi:

GitHubRepo

Kullanıcıların sükutu hayale uğraması gayet normaldi, çünkü yazımızın başında da belirttiğimiz gibi Brave'in kendisini pazarlarken kullandığı en güçlü argüman gizlilik idi.

Brave'in mucidi Branden'dan yanıt gecikmedi. Bu whitelist'i kullanıcılardan gelen talepler üzerine hazırladıklarını, zira üçüncü parti script ve stil yüklemelerini engellediklerinde web sayfalarında bulunan Facebook Connect, Facebook Share gibi özelliklerin beklendiği şekilde çalışmadığını belirtti.

Branden bir konuda haklıydı. Zira üçüncü parti bileşenleri yüklemeyi tamamen iptal ettiğinizde, ziyaret ettiğiniz sayfada bulunan ve bu kütüphanelerin yüklenmesine bağımlı olan bir kısım fonksiyon çalışmayacaktı.

Fakat Google'a entegre edilen fonksiyonlar Brave'in tüm kısıtlarına rağmen beklendiği gibi çalışıyordu. Çünkü Google'a ait bu fonksiyonlar sayfanın kendisinde bir script yüklemeyi zaruri kılmıyor, kullanıcı etkileşiminden sonra yeni bir pencere (window) oluşturarak, işlemi bu şekilde devam ettiriyordu.

Şikayetlerin ardı arkası kesilmeyince Brave bir açıklama yayınlamak zorunda kaldı.

Açıklamada Brave'in sadece script yüklemesine izin verdiği, tracking'i bundan önce olduğu gibi bundan sonra da engellemeye devam edeceği bilgisine yer veriliyor. Zira Brave script yüklemelerinde kullanıcı browserına herhangi bir şekilde cookie set edilmesine ya da local storage'a erişilmesine izin vermiyor. Bunlar olmadan da kullanıcının izlenemeyeceğini, fingerprint'in etkili bir tracking yöntemi olmadığını belirtiyor.

Whitelist etme işlemi hard coded olarak yapıldığı için Facebook ve Twitter kullanmayan kullanıcılar, bu özelliği nasıl devre-dışı bırakacaklarına dair soruları kullanıcı topluluklarında sormaya başladı.

whitelist

Her ne kadar Branden fingerprint'in kullanıcı izlemede etkili bir yöntem olmadığını söylese de mobil cihazlarından, mobil bağlantıları ile bu servislere erişen kullanıcıların kolaylıkla tekilleştirilebileceği hakikat. Nitekim bu ihtimal kullanıcıları da tedirgin ediyor:

redditusers

"Biz daha iyisini yapana kadar, en iyisi bu."

// Temporary whitelist until we find a better solution

Kod bloğunda paylaştıkları yoruma göre bu geçici bir tedbirdi. 2016 yılından beri kodda aktif olan whitelist edilmiş URL'lere zaman zaman yenileri ekleniyor. Örneğin Twitter'a ait olan cdn.syndication.twimg.com bunlardan sonuncusu.

First Party, Third Party: Hangisi sizin partiniz?

Gerek Brave'in kullanıcıları ile paylaştığı açıklamada, gerekse diğer platformlarda türetilen tartışmalarda bir jargon dikkat çekiyor: first party - third party.

Bu jargona alışık olmayan kullanıcılar için birkaç izahat yapmakta fayda var:

First Party, sizin doğrudan eriştiğiniz, yani kullanıcının kasti olarak web browser adres çubuğuna adresini yazarak ziyaret ettiği sitenin kendisi. Örneğin www.example.com.  Aynı şekilde bu origin'den web sitesinin sıhhatli bir şekilde gösterilmesi için yüklenecek tüm diğer kaynaklar da bu first party kavramına dahil.

Third Party ise, ziyaret ettiğiniz site tarafından kasıtlı ya da istem dışı istek yapılan tüm originlere verilen kategorik bir ad.

Sonunu Düşünen Kahraman Olur

Brave browser nasıl bir yol izlemeliydi?

Özellikle de kendisini gizlilik ve güvenlik mottosu ile kullanan kullanıcıların tercihlerine daha fazla ihtimam gösteren bir yol tercih edebilirdi. Örneğin Firefox, üçüncü partilere dair alacağı aksiyonlarda kullanıcılara farklı seviyelerde güvenlik tedbirleri sunup, dilediklerini seçmelerine imkân veriyor. Brave için böyle bir yöntem kullanıcı topluluklarında dönen tartışmalarda dile getirilen yöntemlerden biri idi.

Firefox settings

Firefox gizlilik menüsünden bir görünüm.

Mozilla Vakfı'nın kurucularından biri olan Eich'in Firefox'un gizlilik vaad eden özelliklerine yabancı olmadığı muhakkak. Dolayısıyla Firefox'un sahip olup, Brave'in sahip olmayışını daha çok üreticilerinin tercihleri ile açıklayabileceğimiz güvenlik özellikleri şunlar:

Firefox işletim sisteminin sertifika güven zinciri yerine, kendine mahsus bir sertifika güven zincirine müracaat etmektedir. Aynı şekilde Firefox, işletim sisteminin proxy (vekil sunucu) ayarlarını doğrudan kullanmak yerine, proxy ayarlarının tarayıcı üzerinden hususen yapılmasına gereksinim duymaktadır.

Netsparker

Tam isabet, hızlı ve kolay kullanım

DEMO SÜRÜMÜNÜ İNDİR