nixp.ru v3.0

23 ноября 2024,
суббота,
01:27:41 MSK

24 ноября 2014, 11:34

Gngr — ещё один браузер, создаваемый с фокусом на максимальную конфиденциальность

3
Gngr не поддерживает cookies, HTTP referrer, JavaScript и сторонние компоненты
Gngr не поддерживает cookies, HTTP referrer, JavaScript и сторонние компоненты
Иллюстрация с сайта flickr.com

Группа разработчиков приступила к созданию нового Open Source-браузера — Gngr, целью которого является максимально конфиденциальная и наиболее безопасная для пользователя работа.

Gngr — это совершенно новый браузер, который сейчас находится в стадии активной разработки. Он предназначен для консервативной аудитории и не поддерживает cookie, HTTP referrer, JavaScript и сторонние компоненты, а также передаёт минимальный User-Agent — «gngr.info/major-version». Gngr написан на Java для того, чтобы задействовать возможности песочницы этого языка, однако уже запланирован переход на другой, основанный на JVM, язык.

Несмотря на всю сложность задачи и имеющиеся аналоги, разработчики всё же начали работу над новым браузером. Причиной этого они называют всевозрастающую «потребность» даже небольших сайтов собирать данные о пользователи. Сайты зачастую включают сторонние трекеры, анализаторы трафика, рекламные сервисы и многое другое! Всё это в совокупности позволяет отслеживать веб-привычки каждого пользователя.

Отдельно стоит JavaScript, он может заимствовать интернет-канал и мощности процессора, например, для майнинга криптовалюты, или же при помощи небольшого кода на JS можно эксплуатировать атаку Tabnabbing. Также на своём сайте разработчики отвечают на вопрос, почему такие проекты как NoScript и uMatrix недостаточно хороши. Авторы gngr утверждают, проекты могут пропускать некоторые запросы при изменении API, а разработчику браузера и вовсе ничто не мешает использовать недокументированные возможности. Поэтому конфиденциальность и безопасность должны лежать в основе самого браузера, а не плагинов.

При этом разработчики смотрели на аналогичные проекты, однако среди их недостатков называется использование низкоуровневых языков и запуск нативного кода. Это, по мнению команды разработчиков, неминуемо приведёт к уязвимостям и делает аудит сложнее. Исходный код браузера пока недоступен, однако к выпуску готовится начальный релиз, за которым и последует публикация кода.

Постоянная ссылка к новости: http://www.nixp.ru/news/12969.html. Никита Лялин по материалам Gngr.Info.

fb twitter vk
rgo

Они б ещё на python’е написали б. Или лучше на интерпретаторе javascript написанном на питоне. Было бы безопасно по самые гланды. Примерно так же, как если ethernet-вилку в презерватив укутывать, прежде чем в сетевуху втыкать.

Илья Смирнов

Непонятно, зачем делать браузер без поддержки javascript. Фактически, пользоваться таким браузером можно будет только на просмотр сайтов, т.к. практически любая форма задействует javascript. И даже на просмотр некоторые сайты работать не будут, т.к. много где контент доставляется через ajax.

ИМХО, бессмысленная затея.

Aceler

Попытка отправить комментарий к этому сообщению через Lynx завершилась 500-й ошибкой. Но комментарий ушёл! :-)

Дмитрий Шурупов

Недокументированные фичи :-)

Aceler

Требую фичереквест! ЛОР прекрасно работает в Lynx.

Илья Смирнов

Я ждал подобного комментария :) Но, согласитесь, не очень удобно пользоваться браузером без javascript.

К тому же в любом нормальном браузере можно отключить javascript, flash, cookie, плагины, и просматривать странички в своё удовольствие.

Лучше бы сделали меганавороченный фичастый браузер с полной поддержкой html5 и пр. блэкджеком и шлюхами. Хотя, может, начнут с того, что заявлено, а потом войдут во вкус :)

Филипп Корвин

Затея теоретически (или практически?) подойдет для тех, кто решает очень ограниченное количество задач в вебе — ходит только на консервативные новостные ресурсы, не покидая их пределы… ну, и параноит на тему безопасности. Но на Java… ой, не знаю! ;))

tinman321

А те кто ходит по ссылкам получают бонус и немного «пищи» про Java, вроде:
-- Is it fast?
-- Not yet. Speed is lower priority in the current development cycle.

Илья Смирнов

Слишком дорогое удовольствие для разработчиков делать отдельную полноценную версию сайта для пользователей без javascript, которых, вероятно, от 0% до 1%. Я понимаю, делать совместимость с IE 8. Но без javascript — оно просто никому не нужно, т.к. такие пользователи — не целевая аудитория большинства сайтов.

Не знаю, как на практике вообще такой браузер может пригодиться. Разве что для посещения каких-то очень специализированных ресурсов, рассчитанных на параноиков, воображающих себя спецагентами :)

rgo

Ну я тоже постоянно хожу везде с выключенным js. Правда посредством NoScript. Не потому что воображаю себя спецагентом, а потому что я никоим образом не заинтересован в том, чтобы кто-либо отслеживал чем я занимаюсь в интернете. С одной стороны и насрать на это, а с другой стороны, когда (и если) станет не насрать, то будет уже поздно пить боржоми.

Илья Смирнов

NoScript, кстати, — очень хорошее решение.

Честно сказать, меня давно смущает ситуация, когда владельцы сайтов вставляют в страницы код javascript, ведущий на какие-то левые ресурсы, например, на сервисы с социальными кнопками. Если, к примеру, вставить такой код в страницу, где есть форма авторизации, то какие-то неизвестные скрипты, которые никто не проверял, могут спокойно забирать себе логин-пароль.

На мой взгляд, рулит компромисс между функционалом и безопасностью: со стороны пользователя настраивать списки доверенных ресурсов, а со стороны разработчика не доверять неизвестным сервисам, весь javascript хранить у себя на сервере, а не на сторонних ресурсах, которых нынче развелось очень много.

fhunter

Javascript везде несколько уже достал. Начиная от тормозов (живейший пример — ulmart). И кончая всяким вылезающим дерьмом.
Доходит до того, что gmail без javascript при тормозном интернете работает быстрее, чем ajax-овый.
Кроме того — без javascript не работает индексирование google-ом, так что версия, как минимум читаемая уже существует.

rgo

То есть надо прикинуться гуглоботом? Юзерагента сменить?

fhunter
23.05.2014: Der Google Bot ließt jetzt offiziell JavaScript
«Traditionally, we were only looking at the raw textual content that we’d get in the HTTP response body and didn’t really interpret what a typical browser running JavaScript would see. In order to solve this problem, we decided to try to understand pages by executing JavaScript. It’s hard to do that at the scale of the current web, but we decided that it’s worth it. We have been gradually improving how we do this for some time. In the past few months, our indexing system has been rendering a substantial number of web pages more like an average user’s browser with JavaScript turned on. »


Чёрт. Уже не поможет…
:-(