Браузер Vivaldi, который по умолчанию отправляет статистику посещений, в моей модели угроз не является приватным. То, что вы называете "обезличенной статистикой", принципиально не отличается от трекинга, пока:

1. Нельзя посмотреть исходники и убедиться, что там действительно нет идентификаторов.
2. Нельзя гарантированно отключить сбор полностью, а не только "по заверениям"
3. Нет независимого технического аудита, который это подтверждает

Закрытый код + допсервисы "для удобства пользователя" — это как раз классический дарк-паттерн, который критикуется у big tech. А когда такой продукт одновременно продвигают как "приватный", это выглядит как попытка усидеть на двух стульях: и данные собирать, и имидж приватности не терять.

Либо это браузер про удобство с ценой в виде статистики, либо про жёсткую приватность. Одновременно продавать оба образа — нечестно по отношению к пользователю.

Если вы айтишник, вам это должно быть понятно. Утверждать обратное — по меньшей мере лукавство.

@kirill

> Браузер Vivaldi, который по умолчанию отправляет статистику посещений

Браузер Vivaldi не отправляет статистику посещений. Вообще ничего, связанного с активностью пользователей. Мы получаем только информацию о версии браузера, платформе, на которой он работает, языке локали, и всё это в обезличенном виде, без привязки к пользователю. Мы считаем количество браузеров, а не следим за действиями пользователей.

> 1. Нельзя посмотреть исходники и убедиться, что там действительно нет идентификаторов.

Код нашего счётчика открыт и доступен для изучения вместе с другими исходниками браузера - vivaldi.com/source/

> 2. Нельзя гарантированно отключить сбор полностью, а не только "по заверениям"

Можно. Заблокируйте доступ к серверу статистики.

> 3. Нет независимого технического аудита, который это подтверждает

А кто-то хоть раз пробовал этот аудит сделать? Почему претензии к нам?

> Либо это браузер про удобство с ценой в виде статистики, либо про жёсткую приватность. Одновременно продавать оба образа — нечестно по отношению к пользователю.

Статистика количества браузеров не является приватной информацией пользователя. Вообще. Это просто количественные показатели, ничего не говорящие о том, кто пользуется браузером.

Вы придумали то, чего нет - Vivaldi не собирает данные о пользователях.

Source | Vivaldi Browser

View the source code for past versions of the Vivaldi browser.

^{Vivaldi Technologies}

В официальной privacy policy Vivaldi написано, что при установке профилю назначается уникальный ID, и браузер каждые 24 часа отправляет на ваши сервера этот ID, сведения о версии, архитектуре CPU, разрешении экрана, времени с последнего сообщения, а также сохраняется приблизительное местоположение по IP.

То, что вы называете это "просто количественной статистикой браузеров", не меняет сути: это данные о пользователях и их устройствах, привязанные к конкретной установке, собираемые по умолчанию и отправляемые на ваши сервера. Для моей модели угроз уже достаточно, чтобы не считать браузер "приватным" – даже если вы действительно не видите конкретные сайты.

Но в случае краша, согласно вашей же документации, в дамп могут попасть и содержимое страниц, и логины с паролями. Хоть это и опция, но слив таких данных плохо сочетается с тезисом «мы не собираем данные о пользователях».

Открытый исходник счётчика — отлично, но без воспроизводимых сборок и независимого аудита обычный пользователь всё равно вынужден просто верить, что именно этот код в неизменном виде оказался в бинарниках и что на стороне сервера с собранными данными делают ровно то, что заявлено на сайте. В таких условиях говорить «если хотите — сделайте аудит» звучит лукаво: никто этого не будет делать, в этом нет смысла, пока продукт закрыт и не идёт в сборки дистрибутивов или в F-Droid.

И на этом фоне вы приходите в Fediverse, который вообще-то вырос как реакция на тёмные паттерны big tech, и рассказываете, что всё перечисленное выше «не считается сбором данных о пользователях». Просите — не принимается.

По факту у вас классическая схема: минимальная, но всё же телеметрия установки + монетизация через спонсорский функционал, завернутые в маркетинг про «уважение к приватности». Для кого-то такой компромисс окей — вопрос личной модели угроз. Но называть это «браузером, который не собирает данные о пользователях», да ещё и заходить с этим в федеративные сети — это ровно тот самый big tech-подход, от которого люди сюда и свалили.

@kirill
> это данные о пользователях

Это не данные о пользователях. Это только данные об установленном браузере. По этим данным невозможно определить пользователя или как-то понять его профиль.

> Но в случае краша, согласно вашей же документации, в дамп могут попасть и содержимое страниц, и логины с паролями. Хоть это и опция, но слив таких данных

Это не слив данных. Это добровольное решение пользователя помочь разработчикам разобраться в проблеме.

> никто этого не будет делать, в этом нет смысла

В этом нет смысла, т.к. статистика - это не персональные данные. Ни один нормальный человек не будет тратить время на эту ерунду. А в форумах и блогах просто идут дилетантсткие разговоры о том, о чём люди не имеют понятия. Они пишут красивое слово "телеметрия" и носятся с ним, как с откровением. Хотя телеметрия к статистике не имеет никакого отношения.

> Просите — не принимается.

Кто бы сомневался. Такую интересную тему убрать из обсуждений - как Vivaldi следит за пользователями. Обвинениями кидаться проще, чем взять и проверить лично, что и как.

> По факту у вас классическая схема

По факту у нас браузер, который не собирает данные о пользователях. Вообще. Вот это - факт. И пока вы не докажете обратное, это и будет фактом. А всё остальное - это домыслы и фантазии людей, которые не хотят думать.

> Это не данные о пользователях

GDPR, да и просто здравый смысл, с вами не согласны: уникальный ID установки, данные об устройстве и приблизительное местоположение по IP — это как раз и есть пользовательские данные, даже если вы назовёте их "статистикой".

> По факту у нас браузер, который не собирает данные о пользователях. Вообще. Вот это — факт.

Громкие заявления требуют убедительных доводов. Закрытый код и просьба "поверьте нам, мы хорошие" такими доводами не являются.

@kirill

> GDPR, да и просто здравый смысл, с вами не согласны: уникальный ID установки, данные об устройстве и приблизительное местоположение по IP — это как раз и есть пользовательские данные, даже если вы назовёте их "статистикой".

Нет. Почитайте GDPR. Статистика не является персональными данными.

> Громкие заявления требуют убедительных доводов.

Докажите обратное и я первым перед вами извинюсь. Но я знаю, что доказать вам это не получится ровно потому, что именно я отвечаю в компании за сбор и анализ статистики и я лучше всех знаю, что по этим данным невозможно никого вычислить. В принципе. Это обезличенная статистика, по которой невозможно идентифицировать пользователя даже приблизительно.

Немного погуглив, вижу, что вы участвовали в развитии прекрасного для своего времени браузера Opera и сейчас играете заметную роль в развитии Vivaldi. Надеюсь, ваше упорство питает именно отстаивание истины, и вы в самом деле ведёте бизнес этично. А то, что вы собираете, — это, допускаю, во многом требования спонсоров и партнёров. Если так, то я вам и сочувствую, и дам непрошеных советов по исправлению ситуации.

Помимо энтерпрайз-проектов в инфосеке, я развиваю selfprivacy.org, цель которого, в том числе, показать, как может выглядеть продукт в духе Privacy by Design и Zero Trust. Там мы с командой ломаем голову, не завернуть ли нам обновления в Tor/Ygg, чтобы вообще не видеть реальный IP пользователя. Мучаемся с траблшутингом вслепую, чтобы не просто не иметь доступа к серверу клиента, а чтобы вообще ни единого сетевого пакета не получать с его сервера. Не говоря уже о полностью открытом коде. То есть приватность — это область моей профессиональной деятельности.

Вы заявляете, что отстукивание бинарным блобом с непроверяемыми для пользователя данными раз в сутки можно называть "приватным". Возможно, кем-то такое допускалось во времена успеха Opera, но сейчас планка сильно поднялась.

> К сожалению, они настолько привыкли к тому, что все вокруг собирают их данные, что не могут поверить, что Vivaldi этого не делает. Типа — это невозможно.

Да, мир поменялся: пользователи перестали верить словам, и этот тренд будет продолжаться, потихоньку закапывая ваш, без иронии, удобный браузер. Приватность теперь надо демонстрировать архитектурными решениями — например, сквозным шифрованием и минимизацией данных, а не формулировками в маркетинге. Мой бывший мудрый босс как-то говорил:

> Ты — классный технарь. Но важно не только быть, но и казаться!

Что видит средний продвинутый пользователь, который вам не доверяет: выглядит как утка, крякает как утка — наверное, это утка.

Я бы мог организовать аудит вашей инфраструктуры для проверки ваших слов. Но это мало кого убедит. Если какой-то сомнительный ноунейм из интернета скажет: "да, мол, не нашёл признаков того, что данные куда-то утекают", — это не гарантирует, что на время аудита вы просто спрятали ту часть инфраструктуры, которая выгребает данные рекламным партнёрам до анонимизации, или что после аудита вы не начнёте делать с данными что-то ещё. Ровно так же, как и в случае с source-available: нет никаких гарантий, что ваш бинарь собран именно из выложенного кода.

Поэтому лучшее, что вы можете сделать, на мой взгляд, в порядке убывания важности:

1. Полноценный open source и путь в Linux-дистрибутивы умножат доверие к вам на порядок.
2. Пересмотр телеметрии: так ли вам нужно ежедневно получать эту "статистику"? Точно ли нет другого способа получить необходимые вам цифры? Или хотябы показать, что именно уходит на ваши сервера?
3. Как у VLC-плеера при первом запуске: "мы уважаем вашу приватность, позволите ли обновлять метаинформацию о вашей медиа-коллекции из интернета?". Снятая галочка должна означать ноль пакетов в сторону ваших серверов и серверов партнёров. И хорошо бы иметь отдельный раздел "Privacy" в настройках, где все потенциальные векторы утечек прозрачно перечислены и находятся под контролем пользователя.
4. Всё, что можно делать офлайн, нужно делать офлайн. Онлайн-перевод — чудовищная дыра утечки приватности, ведь через него прогоняют письма, документы и т.п. Браузерные расширения с офлайн-переводом вроде Linguist Translate с движком Bergamot показывают, что это вполне реально.
5. Дать пользователю настоящий выбор: какой переводчик использовать (например, DeepL или локальный), иметь ли возможность указать свой сервер для синхронизации вкладок и т.п.

Подытожу со своей колокольни:

1. Вы получаете свою "статистику", видя реальный IP пользователя — а это персональные данные. Дальше просите доверять вашим словам, что анонимизируете и никому не передаёте. Доверять ли вам на слово — выбор каждого.
2. С точки зрения корпоративных рисков к блобам Google/Apple у бизнесов больше доверия, чем к маленькой компании без прозрачной цепочки доверия и воспроизводимых сборок.
3. С точки зрения идей SelfPrivacy: невоспроизводимая сборка — уже красный флаг, а ежедневное "отстукивание" на ваши сервера — непреодолимая красная линия.

Как бы там ни было, я искренне желаю вам успехов. Бодаться за долю на рынке браузеров с такими игроками дорогого стоит. Даже если вы не до конца честны в маркетинге приватности, для децентрализации и конкуренции ещё один удобный браузер — это всё равно плюс.

Если ваш продукт когда-нибудь появится в сборках F-Droid без пометок в духе "есть функции, которые вам могут не понравиться" — я напишу статью о том, какие вы классные. Или даже если вы просто начнёте движение в сторону реальной прозрачной приватности, а не "privacy washing" — зовите, буду рад помочь, чем смогу.

P.S. Рекомендую подсмотреть, как Delta.Chat подходит к вопросам приватности и децентрализации: habr.com/ru/articles/679660/

Почему я выбрал DeltaChat для приватного общения

Нет централизованного сервера. Используется любой email-сервер, который укажетеНадежное e2e-шифрование Autocrypt Level 1. Реализация прошла независимый аудитOpen...

^{Жольнай Кирилл (Habr)}