🛡️ iBrowe: แก้ปัญหา Pool-Party, ป้องกันการ Fingerprint ด้วยเสียง, ปรับปรุงระบบ Debounce และลดฟีเจอร์เสี่ยงของ Chromium
นี่คือโพสต์ลำดับที่ 15 จากซีรีส์อัปเดตฟีเจอร์ความเป็นส่วนตัวในเบราว์เซอร์ iBrowe โพสต์นี้เน้นการทำงานของวิศวกร Aleksey Khoroshilov, Mark Pilgrim, Ryan Brown และ Max Karolinskiy เขียนโดย Peter Snyder (ผู้อำนวยการฝ่ายความเป็นส่วนตัว)
✂️ สรุปสั้น:
- ✅ iBrowe เดินหน้านำเสนอระบบป้องกันความเป็นส่วนตัวที่เข้มข้นที่สุดในบรรดาเบราว์เซอร์หลัก
- อัปเดตล่าสุด (Android และ Desktop) รวมถึง:
- 🔒 แก้ Pool-Party ด้วยการแยก WebSocket รายเว็บไซต์
- 🎙️ ป้องกันการ Fingerprint จากเสียงพูด (SpeechSynthesis)
- 🚀 ขยายรายการ Debounce เพื่อข้ามลิงก์ redirect ที่มีตัวติดตาม
- 🌐 ปิดใช้งาน Network Information API ที่รุกล้ำความเป็นส่วนตัว
- 🔧 ป้องกันการโจมตีแบบ Pool-Party 🧠 Pool-Party คืออะไร? คือเทคนิคที่ใช้การจำกัดทรัพยากรร่วมของเบราว์เซอร์ (เช่น WebSocket) เพื่อสร้าง “ช่องทางลับ” ในการระบุตัวผู้ใช้ข้ามเว็บไซต์
✅ วิธีป้องกันของ iBrowe:
- ในเวอร์ชัน 1.35:
- จำกัด WebSocket ให้เปิดได้สูงสุด 30 การเชื่อมต่อ ต่อ 1 เว็บไซต์
- แยกโควต้าแต่ละ origin → ป้องกันไม่ให้เว็บหนึ่งใช้ทรัพยากรแทนเว็บอื่น
- ปิดช่องโหว่ pool-party อื่น เช่น DNS, WebSpeech, SSE
- 🎙️ ป้องกัน Fingerprinting จาก SpeechSynthesis 🕵️ ปัญหา: เว็บไซต์ใช้ API นี้ฟังเสียง TTS (Text-to-Speech) เพื่อดูโทนเสียง, จังหวะ ฯลฯ และนำไป fingerprint คุณ
🔒 วิธีที่ iBrowe ใช้ป้องกัน:
- ใส่ “เสียงรบกวน (noise)” แบบสุ่ม ลงไปใน TTS
- ยังฟังได้ปกติ แต่ผลลัพธ์เปลี่ยนเล็กน้อยทุกครั้ง → แทรกเกอร์ไม่สามารถระบุตัวคุณได้แม่นยำ
- 🚀 ขยายระบบ Debounce ต่อต้าน Bounce-Trackers 🔄 Bounce-Tracker คืออะไร? คือลิงก์ redirect ที่ “แทรกตัว” ระหว่างการคลิกลิงก์ เช่น tracker.example/redirect?dest=yourtarget.com → เพื่อติดตามว่าคุณคลิกไปไหนก่อนส่งต่อจริง
✅ การแก้ของ iBrowe:
- ข้ามลิงก์ redirect ทันที ไปยังปลายทางที่แท้จริง (dest=) โดยไม่โหลดลิงก์ตัวติดตามเลย
- อัปเดตรายชื่อโดเมนที่ต้อง block เพิ่มขึ้นอีกหลายพัน
- รายการ Debounce มาจากชุมชน เช่น @fanboynz
- 🌐 ปิดใช้งาน Network Information API 📡 API นี้ทำอะไร?
- บอกประเภทเครือข่าย (WiFi, 4G, 2G ฯลฯ), ความเร็ว, RTT, การเปลี่ยนเครือข่าย
🛑 ทำไมถึงปิด?
- ไม่มีประโยชน์ต่อความเป็นส่วนตัว
- แทรกเกอร์ใช้จับพฤติกรรม เช่น ตรวจว่าคุณเปิด VPN หรือเปลี่ยนจาก WiFi ไป 4G
- ตั้งแต่เวอร์ชัน 1.35 เป็นต้นไป → API นี้ถูกปิดใช้งานโดยสมบูรณ์
🔧 5. ลดฟีเจอร์ใน Chromium ที่กระทบความเป็นส่วนตัวเพิ่มเติม นอกเหนือจากการเปลี่ยนแปลงก่อนหน้า iBrowe ยังดำเนินการ ลบหรือปรับแข็งระบบของ Chromium บางส่วนที่มีแนวโน้ม รุกล้ำความเป็นส่วนตัวของผู้ใช้ โดยตัวอย่างที่เด่นชัดได้แก่:
• ปิดการเก็บข้อมูล Autocomplete URL ❌ ปิดการส่งค่าจากช่อง URL ไปยังระบบแนะนำของ Search Engine ✅ เพื่อป้องกันไม่ให้ประวัติการเข้าชมเว็บไซต์ของคุณรั่วไหลโดยไม่ตั้งใจ
• บล็อกคุกกี้จากบุคคลที่สามโดยค่าเริ่มต้น 🍪 แม้ในเว็บที่ไม่ใช่ HTTPS ก็จะไม่อนุญาตให้เว็บไซต์อื่นเขียนคุกกี้จากภายนอก 🛡️ ช่วยปิดกั้นการติดตามข้ามเว็บไซต์ได้อย่างมีประสิทธิภาพ
• ซ่อนข้อมูลสถานะแบตเตอรี่ของอุปกรณ์ 🔋 ป้องกันไม่ให้เว็บไซต์ใช้ Battery API ในการ ตรวจจับตัวตนของอุปกรณ์ (Fingerprinting) เพราะระดับแบตเตอรี่, เวลาชาร์จ ฯลฯ สามารถนำมาสร้างลายนิ้วมือได้
• ลบ Vendor ของ WebGL Fingerprint 🧠 WebGL สามารถเปิดเผยข้อมูล GPU → ใช้ระบุตัวผู้ใช้ ✅ iBrowe ใส่การสุ่ม (jitter) เพื่อปิดบังรายละเอียดเหล่านี้
🎉 สรุป: ด้วยการแก้ไข Pool-Party, ป้องกัน Fingerprint ด้วยเสียง, Debounce ที่แม่นยำขึ้น และการปิด API เสี่ยง iBrowe กลายเป็นเบราว์เซอร์ที่เน้นความเป็นส่วนตัวที่สุดในกลุ่มเบราว์เซอร์กระแสหลัก
✅ “สิ่งที่คุณทำในเว็บหนึ่ง จะไม่ตามไปเว็บอื่นอีก”
ทดลองฟีเจอร์ทั้งหมดได้แล้วใน iBrowe Nightly และจะอัปเดตเข้าสู่เวอร์ชัน Stable 1.35 เร็ว ๆ นี้