Введение
В Brave мы хотим, чтобы наш браузер не только обеспечивал наилучшую защиту от слежки за экономией, но и был самым лучшим способом работы в Интернете. Мы в значительной степени полагаемся на отзывы сообщества, чтобы гарантировать, что продукт обеспечивает наиболее важные функции и является настолько надежным, насколько это возможно. Иногда, однако, этого просто недостаточно, чтобы убедиться, что мы предоставляем наилучший опыт как можно большему числу пользователей. Многие люди просто не имеют времени, чтобы дать обратную связь, и есть много вопросов, оставшихся без ответа. Люди делают это через присоединение, или мы должны сделать это короче? Люди используют храбрые награды? Используют ли люди синхронизацию и, если да, на скольких устройствах? Сколько людей еще нужно загрузить важные обновления браузера? В обычной компании-разработчике на эти вопросы можно было бы ответить, воспользовавшись одной из десятков сторонних аналитических служб. Но то, как работают такие сервисы, будет означать, что смелые пользователи могут быть индивидуально идентифицированы и отслежены третьей стороной, а в некоторых случаях такое поведение будет объединено с другим отслеживаемым поведением в экосистеме отслеживания рекламы для выгоды только третьей стороны. , Ничто из этого не будет приемлемо для Brave, учитывая нашу приверженность конфиденциальности пользователей. Мы считаем, что полностью приватная аналитика продуктов - это самый эффективный способ сделать Brave максимально эффективным - предоставив нам представление о том, как на самом деле используются различные функции продукта, мы можем настроить продукт так, чтобы он лучше соответствовал Потребности наших пользователей. Как всегда, наш код с открытым исходным кодом и доступен для сторонних аудитов и проверок.
Принципы дизайна Конфиденциальность является нашей первой ценностью. Мы действительно, искренне не хотим ничего знать о вас по отдельности или знать что-либо, что может быть использовано для отслеживания вас. Это означает, что нам нужно подходить к аналитике продукта совсем не так, как в большинстве других компаний. Мы создали полностью частную систему, которую мы называем аналитикой продуктов с сохранением конфиденциальности, или сокращенно P3A. Этот проект выходит далеко за рамки отраслевых норм и требований GDPR, когда речь идет о сохранении конфиденциальности. Вот механика: P3A не собирает личную информацию. Ничего, что могло бы идентифицировать вас, и ничего чувствительного, например, история вашего браузера, поисковые запросы и т. Д. Время от времени в фоновом режиме браузер отправляет отчеты, содержащие простую неидентифицирующую информацию об использовании функций продукта. По сути, это автоматически доставляемые ответы на конкретные вопросы, определенные Brave. Все «вопросы», которые мы задаем браузеру (собранные измерения), будут опубликованы в понятной для человека форме. Вы можете найти текущий список здесь. Вы можете в любой момент отключить P3A в разделе «Конфиденциальность и безопасность» настроек браузера. Весь код P3A будет с открытым исходным кодом (как и весь наш код, за исключением кода защиты от мошенничества на стороне сервера) - вы всегда можете проверить, что ваш браузер делится только теми обещаниями, которые мы обещаем.
Как работает P3A Наша работа над P3A разделена на две начальные фазы. На первом этапе мы будем использовать простой протокол, который отправляет один ответ на один вопрос, по одному за раз. На втором этапе мы разрабатываем более сложный протокол, который включает в себя такие технологии, как забвение в случайном порядке и защищенные анклавы, для поддержки более сложных вопросов при сохранении строгих целей конфиденциальности на этапе 1. Наша цель - сделать так, чтобы мы не могли связать какие-либо Конкретные данные с любым конкретным пользователем, независимо от того, сколько анализа мы выполняем на собранных данных. Этап 1 На первом этапе P3A будут собраны «ответы» на 18 конкретных вопросов с несколькими вариантами ответов. Эти ответы предоставляют простые показатели использования, например, сколько вкладок у людей открыто, или какая часть людей включила Brave Rewards. Например: Вопрос: Количество открытых вкладок Ответы: 0-1 2-5 6-10 11-50 50+ Некоторое (случайное) время после открытия браузера в течение недели, браузер подсчитывает количество открытых вкладок и Выбирает соответствующий ответ из списка. Этот стиль ответа с несколькими вариантами ответов является первой гарантией конфиденциальности. Ни на один из вопросов нет точных, подробных ответов: только небольшое количество предопределенных опций включено. Это помогает гарантировать, что ни одно устройство никогда не имеет уникального или отличительного ответа на любой вопрос. Примерно раз в час кодировщик готовится отправить один ответ, который выглядит как «Вопрос: 7, Ответ: 3». Точное время несколько скрывается добавлением случайной задержки в 0-5 минут. Это в сочетании с информацией о версии Brave, из которой она исходит, выглядит следующим образом: Канал распространения ОС / платформы (еженедельно / dev / beta / release) Неделя установки браузера (отправлено только в течение 90 дней после установки) Страна (удалена) Для стран с менее чем 6000 установок в неделю) Код реферала, который указывает (в целом), какая категория ссылок привела вас на сайт Brave, когда вы загрузили Brave. Он отправляется только в течение 90 дней с момента установки, и только для тех рефереров, которые, как мы уверены, достаточно велики, чтобы не влиять на конфиденциальность. Вы можете найти подробное описание наших реферальных кодов здесь. Эта объединенная информация - ответ и информация о версии - наконец отправляется в сеть доставки контента (CDN) Brave, которой управляет Fastly. Когда ответ достигает границы Fastly CDN, он лишается IP-адреса и точной информации о времени. Эта система разработана таким образом, что мы, храбрый, не можем связать какой-либо конкретный ответ с каким-либо другим, поэтому у нас нет достаточной информации, чтобы связать воедино какие-либо «ответы» конкретного пользователя. Вместо этого каждый ответ является независимой точкой данных.
Фаза 2 Фаза 1 обеспечивает существенную основу для защиты конфиденциальности, а также дает полезную информацию о том, как люди используют Brave. Это простой дизайн, в котором каждый ответ является отдельной точкой данных. Мы можем подсчитать, сколько людей завершили вход в систему, и мы можем подсчитать, сколько людей импортировали свои закладки, но мы не знаем, сколько людей, которые завершили вход в систему, также импортировали закладки. На втором этапе мы даем нам возможность ответить на такие комбинированные вопросы, при этом мы не можем идентифицировать конкретного пользователя. Мы разработали протокол, основанный на дизайне PROCHLO. Этот подход предусматривает отправку комбинированных ответов в безопасный анклав Intel SGX. Использование безопасного анклава означает, что даже у нас нет возможности увидеть, что это за сырые ответы. Программное обеспечение, работающее в этом анклаве, объединяет отдельные ответы в пакеты и отфильтровывает любые пакеты, которые слишком малы и, следовательно, могут быть уникальными или уникальными. Из-за ограничений безопасных анклавов, эта пакетная обработка основана на забывчивом тасовании - криптографическом методе, который гарантирует, что другое программное обеспечение, работающее на той же машине (то есть, мы), не может определить, какие входы соответствуют каким выходам. Эта работа идет полным ходом, и мы ожидаем, что она будет готова для предварительного просмотра в течение следующих нескольких месяцев. Однако это более сложный подход, чем первый этап, и мы хотим убедиться, что все правильно. Когда мы приблизимся к выпуску, мы углубимся в технические детали и, конечно, весь исходный код будет доступен на GitHub.
График выпуска Эти даты являются ориентировочными и могут изменяться в процессе разработки: август 2019 г. - Фаза 1 реализации P3A выходит в ночной канал в браузере рабочего стола. Как всегда, мы стремимся получать отзывы пользователей от наших первых пользователей, когда мы улучшаем и улучшаем P3A. Сентябрь 2019 года - Фаза 1 P3A входит в бета-версию. Фаза 2 сливается с ночной. Октябрь 2019 - Фаза 1 P3A входит в общий выпуск. Фаза 2 входит в бета-версию. Октябрь - ноябрь 2019 г. - Фаза 2 P3A входит в общую версию. После ноября 2019 года - в рамках постоянного улучшения продукта мы будем постепенно собирать новые измерения. Все такие измерения будут постоянно доступны для просмотра здесь. Проблемам Github для этих измерений будет присвоен ярлык «feature / new_metric», и они будут доступны для общественного обсуждения.
Записи уровня журнала хранения автоматически удаляются с наших серверов в течение 7 дней. Обратите внимание, что эти записи уровня журнала не будут содержать IP-адреса или точную информацию о времени. Наши полностью анонимные сводки данных предназначены для хранения на неопределенный срок. Политика конфиденциальности Политику конфиденциальности Brave можно найти здесь:
https://brave.com/privacy/. Заключение Большинство используемого вами программного обеспечения включает в себя некоторую аналитику продукта или сбор данных об использовании, как и все основные браузеры. И по понятной причине - знание того, какие функции находят отклик, а какие требуют работы, является важной частью создания программного обеспечения, которым приятно пользоваться. Мы осторожно относились к построению аналитики, потому что знали, что должны сделать все правильно. Некоторые другие браузеры собирают тысячи измерений вместе со значительным объемом информации о том, что вы искали и какие сайты вы посещали. Ни один из коммерческих аналитических продуктов, которые мы видели, не соответствует нашим стандартам конфиденциальности. Создание этого самостоятельно заняло намного больше времени, чем использование существующей системы, но мы считаем, что это хорошо проведенное время. Мы надеемся, что вы согласны.
Статьи по теме Продолжайте читать новости о блокировке рекламы, функциях, производительности, конфиденциальности и анонсах Basic Attention Token.
