[lp-br-sp] Navegadores respeitosos existem?

[Ricardo Panaggio]

Olá,

Como muitos sabem, desde que me desliguei da Mozilla, parte (quase
toda?) a minha cegueira com relação a ela desapareceu. Eu finalmente vi
toda a desgraça que muitos vinham me alertando e talvez tenha visto
ainda mais, depois de viver alguns dos meus piores dias sendo membro da
tal comunidade.

De algum tempo pra cá, venho me preocupando cada vez mais com minha
privacidade, por diversos motivos. E minha privacidade na web está cada
vez mais difícil de proteger.

Hoje, eu utilizo o Firefox que vem junto com o Debian, 52.3.0, umas
poucas versões atrás do mais atual (55). O que não é problema algum. Na
verdade, fico até surpreso de estarmos tão perto do atual no Debian. E
de ter todos os fixes de segurança aplicados.

No meu celular (um Red Mi 2 Pro, que escolhi entre outros motivos porque
o MIUI é GPL, talvez o computador de bolso "moderno" mais livre que eu
consegui encontrar), eu uso o navegador nativo do MIUI, que é uma
porcaria em termos de privacidade. Uso o que posso de Tor, VPN, modo
privado, ... mas ainda assim não resolve nem 10% das minhas preocupações.

Não migrei para o Firefox para Android ou para o Focus (que inclusive
desconheço se faz o que promete) porque ambos tem algumas limitações que
não me agradam, apesar de que seriam melhores que a situação atual. Mas
cansei de limpar uma bota de lama enquanto a outra está atolada até a
canela, e fazer a troca pra ficar todo sujo de novo.

Atualmente, pra tentar me proteger, eu uso uma dezena de extensões para
o Firefox desktop, e algumas não estão disponíveis para mobile (Android,
iOS, ou para outros navegadores):

* Clean links: Converte links ofuscados e aninhados, evitando entre
outras coisas tracking
* Descentraleyes: Emulação local de CDNs
* Disable Hello, Pocket & Reader+: Desliga o suporte ao Pocket (software
privativo que vem com o Firefox, Hello (que usa software privativo do
lado do servidor e aparentemente não é seguro como prometem), WebRTC
(que é uma ideia até interessante, mas foi implementado como uma
aberração, ... Isso tudo dava pra fazer com configurações, mas prefiro
garantir que não vou esquecer de configurar nada numa nova instalação
* HTTPS Everywhere: deve ser conhecido de todos
* Privacy Badger: Bloqueia semi-inteligentemente rastreadores e propagandas
* Random Agent Spoofer: gera a cada tempo (no meu caso, poucos minutos)
um novo user agent, assim fica mais difícil rastrear você por esse recurso
* RequestPolicy Continued: Controla todas as requisições cross-site
semi-automaticamente.
* Self-Destructing cookies: sempre que uma aba é fechada, o cookie dela
é destruído
* uBlock Origin: Filtro de ads automático. Uso como primeiro filtro,
antes de deixar alguma coisa passar pro Privacy Badger.
* Canvas Fingerprint blocker: como esse é o método mais eficiente de
identificar unicamente um dispositivo, é sempre bom bloquear.

Isso é pouco. Tem ainda muitos buracos:

* Eu tinha um addon para que os cookies existissem apenas dentro de uma
aba, um sandobx de cookies por abas. Ele foi descontinuado e nunca mais
encontrei nada parecido. Cheguei a começar a fazer um, quando vi que o
modelo de extensões do Firefox ia mudar. Desisti enquanto não
estabilizasse, e nunca mais retomei.

* A Mozilla frequentemente envia chamadas pra nave mãe, como faz o
Google com o Chrome e até no Chromium, e não tenho certeza que a versão
distribuída pelo Debian resolve esse problema (não consegui ainda
confirmar nem que sim, nem que não, mas o medo do sim persiste)

* Existe uma "feature" que permite que crash reports sejam enviados
automaticamente para a Mozilla, sem perguntar absolutamente nada ao
usuário. Eu já li esses relatórios, e eles não são tão anônimos quanto a
Mozilla prega. Não sei se em algum momento isso vem habilitado por
padrão no Debian (em atualizações do Firefox normal essa flaf geralmente
se habilita sozinha), mas corre o risco de um usuário desavisado
habilitar isso sem saber e ferir gravemente sua privacidade

* DRM está na build do Debian e praticamente todas as outras, apesar de
desabilitado por padrão. IMHO, isso deveria ser estripado. Um usuário
desavisado não deveria poder habilitar isso sem saber das consequências.
Porque é só um checkbox inocente. Você clica e não aparece nem um aviso.

* Um monte de configurações ficam escondidas no about:config, algo que
usuários normais não vão fazer. Pra desabilitar Pocket, Hello, e várias
outras coisas, só via about:config. Coisas que nem deveriam vir com o
navegador, pra começar.

* Telemetry. Isso acredito que o Debian já remove, mas tem um monte de
gente que está desprotegido por usar o Firefox da Mozilla ou de outra
distro que não remova. Isso coleta um monte de informação do uso do
navegador e da navegação do usuário, e deveria ser extinto.

* Geolocalização: A Mozilla não é muito diferente do Google na forma de
tentar adivinhar sua localização. Na verdade, ele já usou ou ainda usa
os serviços de geolocalização do Google, enviando toda a informação que
o Google costuma coletar, que deve ser do conhecimento de todos. Mas ela
te oferece também um serviço próprio, o Mozilla Location Service, que
recolhe um monte de informação como o Google. Um produto livre, mas com
um overlord novo. Não acho que mudou muita coisa.

* A Nova aba em branco do Firefox agora gera propaganda baseada no seu
histórico de navegação. De novo, com DNT habilitado, isso não acontece,
mas um usuário desavisado poderia ser rastreado por isso. Meu
about:blank é personalizado faz alguns anos (realmente uma página vazia,
sem absolutamente nada), então não sei se o Debian já removeu isso, mas
é mais um lixo adicionado pela Mozilla para comprometer a privacidade do
usuário, com o intuito de gerar receita.

Essa lista vai embora. Isso é o que eu consegui lembrar rápido, e também
não queria que deixassem de ler o reto do e-mail, o mais importante.

A mentalidade da Mozilla foi corrompida pelo vale do silício e seu
futuro é totalmente escuro. Eles fizeram dezenas de experimentos
recentemente (Firefox OS talvez o mais conhecido deles, principalmente
dentro do LibrePlanet BR, por minha culpa) que mostram que eles querem
virar um Google, Facebook, ... fazendo o que for necessário (no pior
sentido possível da expressão), mas pagando de boa gente.

Além disso, em breve a Mozilla vai mudar a forma de gerenciar extensões,
e uma parte grande dessas extensões que citei vão pro buraco, por falta
de suporte da Mozilla, APIs no Firefox na versão em que só Web
Extensions vão funcionar, ... Isso significa que ou essas extensões vão
ter que ser reescritas, ou vamos passar um tempo com mais buracos. Ou
até que essas extensões não poderão existir por falta de suporte pra sempre.

O IceCat nunca foi uma opção. Com pouca gente trabalhando no projeto,
era mais fácil se proteger tentando tapar os buracos do Firefox do que
usando software de muito tempo atrás, com dezenas de vulnerabilidades.

O Chromium nunca foi uma opção também. Desses problemas que citei, acho
que todos acontecem além de outros, e não há uma cobertura boa de addons
para resolver o que é resolvível no Firefox. Isso se repete para
diversos forks de ambos, Firefox e Chromium. E vários outros menores
(Midori, entre outros) não tem um monte de lixo que vem com os grandes,
mas também não vem com as possibilidades de proteção dos grandes.

Pra onde quer que eu olhe, o Firefox ainda com esse monte de problema, é
a melhor solução hoje. E parece que o pessoal do Prism Break tem a mesma
ideia. Eu acompanho as issues lá relacionadas a navegadores, e parece
que essa, apesar de uma péssima opção, mas é a melhor que temos.

Então venho pedir ajuda: Alguém conhece alguma coisa que possa nos
ajudar a acabar de tapar os buracos do Firefox? Alguém conhece outros
grupos que poderiam se unir ao IceCat pra poder correr atrás do prejuízo
e resolver todos esses problemas? Alguém afim de unir esforços para
criar os outros addons necessários? Alguém tem alguma outra ideia melhor
que essas?

E mais: Alguém conhece algum navegador para computadores de bolso que
tenha o mínimo de problemas? Eu testei dezenas, mas nada chega aos pés
do setup que tenho no Firefox do meu desktop. Muitas vezes prefiro
esperar chegar em casa para navegar no meu computador do que correr o
risco de navegar no celular.

-- 
Ricardo Panaggio

signature.asc
Description: OpenPGP digital signature