Mullvad Browser

Mullvad Browser, caratteristiche principali

per Windows, Linux e MacOS
Open source
è una sorta di Tor Browser senza la navigazione sulla rete Tor
ridotti al minimo pubblicità, tracciamento e fingerprint
preinstallati uBlock Origin, NoScript e l’estensione di Mullvad
così come Tor Browser è basato su Firefox ESR e non sull’ultima versione di Firefox
pochi problemi durante la navigazione quotidiana anche anche nella versione Safer
sviluppato dal team Tor Project insieme a Mullvad
no Firefox Sync e non è possibile mantenere Cookie per singoli siti

Siamo decisamente entusiasti e felici di poter finalmente recensire un nuovo Browser incentrato sulla sicurezza e sulla privacy! Mullvad Browser nasce infatti dalla collaborazione del team Tor Project, compreso lo sviluppatore di NoScript ¹ e il team di Mullvad ².

È una collaborazione importante perché stiamo parlando di team preparati che danni lavorano in favore della privacy e della sicurezza. Tor Project sviluppa e mantiene, tra le altre cose, Tor Browser mentre Mullvad è considerata un po’ da chiunque una delle migliori e delle più sicure VPN sul mercato. L’unione di questi team dunque non può che essere una notizia positiva e sebbene stiamo sicuramente parlando di una notevole mossa di marketing quello che ne è uscito fuori è decisamente intrigante.

Le caratteristiche di Mullvad Browser

Come sempre ci siamo dati del tempo per parlarne, non siamo degli amanti delle recensioni sprint e prima di poterne scrivere vogliamo sempre dedicare almeno qualche settimana di utilizzo pieno e quotidiano. Dunque questa recensione è frutto di un utilizzo costante come Browser principale per capirne i limiti e per identificarne meglio il target di riferimento.

Impostazioni e settaggi

Trovate a questo indirizzo tutte le modifiche e le impostazioni presenti all’interno di Mullvad Browser. Per dirla con le parole dello sviluppatore di NoScript stiamo parlando di un Tor Browser senza la rete Tor e con attivato WebRTC (disattivabile con un click) in configurazione “no leak” ¹. Significa, in sostanza, che potete farci anche le videochiamate in sicurezza.

Durante la navigazione non verrà salvato nulla: nessuna cronologia, Cookie e ogni nuova sessione sarà del tutto pulita senza alcuna connessione con la precedente. Potete anche, premendo un tasto, richiedere una nuova identità ovvero riavviare Mullvad Browser cancellando tutto quello che avete fatto fino a quel momento.

Le uniche cose che potete mantenere tra una sessione e l’altra sono sostanzialmente i preferiti e le preferenze delle estensioni. Attualmente non c’è nessun modo per salvare Cookie o altre informazioni anche se le cose potrebbero cambiare più avanti ³.

Il Fingerprinting

Una delle caratteristiche principali di questo Browser è la resistenza al Fingerprinting. Trovate sempre qui una lista esaustiva di quanto fatto. Un piccolo elenco delle cose più visibili durante l’utilizzo quotidiano:

• il fuso orario sarà impostato su UTC;
• non tutti i font installati sul computer saranno disponibili per le pagine web;
• la finestra del Browser sarà impostata su una dimensione specifica (e dunque probabilmente vedrete dello spazio vuoto intorno);
• il Browser riporta un numero di versione e di sistema operativo comune;
• il layout della tastiera, la lingua, la presenza di webcam o microfono, di altri sensori e le impostazioni di zoom vengono mascherati;

Sicurezza

Oltre a queste modifiche sono presenti poi tre livelli di sicurezza che andranno, inevitabilmente, anche ad impattare nell’uso quotidiano del Browser.

Si parte con Standard, quella predefinita durante l’installazione, dove tutte le caratteristiche dei siti web sono abilitate: in questa modalità avrete pochissimi problemi sulla stragrande maggioranza dei siti. Allo stesso modo però siete un po’ meno protetti. È la modalità perfetta per un neofita anche se, tenetene conto, alcuni siti come Spotify per esempio non andranno mai nemmeno in questa modalità per via della riproduzione DRM. Nemmeno WhatsApp Web funziona perché necessita dei Services Workers ⁴.

Safer: è forse la modalità più interessante. Vengono disabilitate solamente alcune funzioni che possono nascondere insidie e per poter far partire i video, per esempio, dovrete prima abilitarne l’esecuzione tramite NoScript. Non è una modalità particolarmente complessa ed è stata integrata davvero molto bene. Certamente però dovete partire dal presupposto che qualche sito potrebbe rompersi o quantomeno che dobbiate attivare manualmente qualcosa per visualizzare video o altro.

Per esempio in questa modalità, come su Tor Browser, viene totalmente disabilitata l’esecuzione di WebAssembly dunque alcuni siti come il cloud di Filen non vi funzioneranno. Tenetene conto e ricordatevi che per alcuni siti specifici potete semplicemente utilizzare un altro Browser.

Safest: questa opzione è la più sicura di tutte. Viene disabilitato JavaScript in maniera predefinita e non vedrete molte immagini, font, icone e via dicendo. Il lavoro che dovrete fare per navigare è sicuramente più impegnativo ma dipende sempre tutto dal vostro Threat Model. Come detto in precedenza non è detto che dobbiate utilizzare Mullvad Browser per forza come Browser principale, dunque potreste anche decidere di usare solo la modalità Safest per determinate cose ma usare un altro Browser per navigare su altri siti.

Quali impostazioni si possono cambiare

Il Browser nasce con determinate impostazioni, due soli motori di ricerca (di cui uno, Mullvad Leta ⁵, utilizzabile solo tramite la VPN di Mullvad) e tre sole estensioni. Dal Browser non ci saranno altre raccomandazioni, non potrete installare estensioni o aggiungere motori di ricerca direttamente.

Potete in realtà aggiungere qualsiasi estensione andando direttamente sul sito dell’estensione e premendo su “Add to Firefox”. Tuttavia è altamente sconsigliato proprio perché aumenterebbero la superficie d’attacco e soprattutto vi rendererebbero più riconoscibili rispetto agli altri e quindi verrebbe meno la resistenza al Fingerprinting ⁶.

Potete modificare anche il Motore di ricerca, che in maniera predefinita è DuckDuckGo ⁷. Anche in questo caso non potrete farlo dal Browser ma vi basterà usare un qualsiasi Motore di ricerca, fare una ricerca e poi premere il tasto destro sulla barra di navigazione: vi comparirà il tasto “Add xxxx“.

Firefox Sync

Firefox Sync è disattivato di default. Si può attivare andando in about:config e mettendo su true l’impostazione identity.fxaccounts.enabled. Secondo alcune nostre prove questa modifica non sembra impattare sul Fingerprinting, tuttavia non è approvata per ora né da Mullvad né dal Tor Project (probabilmente perché prima di poter attivare una nuova funziona devono controllarla per filo e per segno). Vi segnaliamo solo questa possibilità ma traete le vostre conclusioni se pensate sia il caso attivarla o meno.

E quali no

Mullvad Browser sembra non permette l’utilizzo di altre lingue oltre l’inglese. Anche in questo caso è possibile aggiungere un dizionario per la correzione dell’ortografia in italiano o in un’altra lingua. Anche in questo caso non ci sembra che abbia avuto impatti negativi sul Fingerprinting tuttavia non modificate (anche se ci sembra non si possa fare) la lingua con cui vi presentate sui Browser ovvero l’inglese.

Nonostante ci sia una dicitura riguardante i Cookie in realtà non è attualmente possibile mantenere i Cookie oltre la sessione corrente. Non è chiaro se prima o poi verrà permesso farlo ma senz’altro è una cosa di cui sono al corrente ⁸.

Il Motore di ricerca di Mullvad

Abbiamo deciso di investire 5€ per utilizzare Mullvad VPN insieme a Mullvad Browser durante questa prova e provare a sfruttare così anche il loro Motore di ricerca chiamato Mullvad Leta. Questo Motore di ricerca è infatti utilizzabile solamente dietro una VPN di Mullvad.

Non vogliamo illudervi troppo perché parliamo solamente di un frontend di Google dove tutte le richieste vengono fatte da Mullvad e non da “voi”. In combinazione con Mullvad Browser è sicuramente un’accoppiata interessante.

La ricerca è tuttavia davvero semplice e basilare: è solo una ricerca web. Non troverete immagini, mappe né altro. Vi verranno mostrati i risultati della ricerca web di Google in una pagina con la grafica di Mullvad che vi riportiamo qui sotto.

Mullvad Leta ha due opzioni: normale o cached. Le ricerche cached funzionano in questo modo: ogni ricerca viene memorizzata in una cache Redis cache che viene cancellata quando raggiunge più di 30 giorni di conservazione. Le query nella cache vengono quindi recuperate da questo archivio: significa che se nessun utente ha cercato quella stringa si otterranno risultati non aggiornati ⁵.

C’è anche un limite alle ricerche: sono solamente 50 per ogni account Mullvad VPN ogni 24 ore a meno che non utilizziate quelle in cache.

È, tra le altre cose, incredibile come non esista praticamente quasi nessuna informazione su questo Motore di ricerca. Nemmeno facendo una ricerca sul loro sito. Le uniche informazioni si trovano su leta.mullvad.net che però è navigabile solamente dietro la loro VPN.

Fork di Firefox ESR

Mullvad Browser è un Fork di Firefox, anzi più precisamente dovrebbe essere un Fork di Tor Browser e si basano entrambi ⁹ sull’ultimo Firefox ESR e non sull’ultima versione classica di Firefox. Le ESR sono versioni che vengono mantenute per più di un anno solo con aggiornamenti minori e di sicurezza ¹⁰.

Questa è una, non l’unica, delle differenze che possiamo trovare rispetto a Librewolf o ad altri Fork di Firefox. Ne parliamo qualche capitolo più sotto.

I DNS e la VPN su Mullvad Browser

Per chi ancora non lo sapesse, Mullvad ha dei suoi DNS (tra l’altro tra i pochi che hanno anche ricevuto un audit indipendente ¹¹). Vengono utilizzati in maniera predefinita su Mullvad Browser e saranno presenti anche i loro DNS con AdBlock incorporato. Potete comunque mettere qualsiasi DNS over HTTPS vogliate, non siete obbligati ad usare quelli di Mullvad, anche se come detto sopra è sempre buona cosa toccare meno impostazioni possibili e lasciare quelle di default.

Ovviamente usare una VPN (che sia quella di Mullvad o meno) aiuterà nel migliorare la resistenza al Fingerprinting visto che il vostro vero indirizzo IP (uno dei tantissimi fattori utilizzati per identificarvi, non certo l’unico) sarà nascosto.

I DNS di Mullvad, tra l’altro, sono consigliati solamente se non state utilizzando la loro VPN ¹² perché quando vi collegate con la loro VPN utilizzate già i loro DNS e lo farete più velocemente. Questo vale per qualsiasi VPN, a meno che non vogliate utilizzare dei DNS particolari (ad esempio NextDNS) per diversi motivi.

Per quanto riguarda la VPN, ovviamente e come potete immaginare l’idea di questo Browser nasce proprio dal concetto che, citiamo Mullvad: “Una VPN non è abbastanza“. Dunque idealmente il Browser nasce per essere utilizzato proprio con una VPN (non per forza quella di Mullvad) ma non siete obbligati a farlo anche se farlo vi permetterà di avere maggiore protezione e resistenza al Fingerprinting ¹³.

Il Browser comunque è davvero ottimo anche utilizzato così anche se è stato lanciato proprio per coprire quella fetta di mercato che utilizza le VPN e non la rete Tor per navigare ¹⁴.

Le differenze con LibreWolf, Arkenfox e Firefox

Ci sono già tanti Fork di Firefox là fuori, c’era davvero bisogno di un altro Browser? Beh secondo noi sì. Intanto perché è sempre bello vedere vitalità e collaborazione tra aziende e team diversi ma con la stessa missione.

Molti si chiedono, ad esempio, che differenze ci siano con LibreWolf, uno dei Fork di Firefox più conosciuti e con il progetto Arkenfox (il creatore di Arkenfox ha lavorato a stretto giro con LibreWolf negli ultimi due anni ¹⁵).

Cos’è Arkenfox

Piccola parentesi: Arkenfox è il progetto che un po’ tutti prendono come riferimento per migliorare la privacy e la sicurezza su Firefox. LibreWolf è quasi completamente la trasposizione di Arkenfox su Firefox e anche alcuni Fork di Firefox su Android, come Mull, ne hanno preso ispirazione.

Mullvad Browser vs LibreWolf

Dicevamo delle differenze tra questi Browser. Intanto il team di sviluppo alle spalle, Mullvad Browser con Tor Project assicurano senz’altro un aggiornamento costante anche se è ancora presto per dirlo. Mullvad però deriva da Tor Browser e ne dovrebbe prendere costantemente i miglioramenti e gli aggiornamenti.

A differenza di LibreWolf, Mullvad Browser si esegue sempre in modalità privata questo permette maggiore sicurezza e privacy ma come potete immaginare crea più di qualche fastidio nell’utilizzo quotidiano.

Mullvad Browser è anche più disponibile nei confronti di chi usa piattaforme diverse da Linux mentre LibreWolf per esempio su Windows permette l’aggiornamento automatico solo se scaricato dal Microsoft Store ¹⁶ o tramite estensione e l’installazione su macOS è decisamente meccanica.

Mullvad Browser ci è sembrato molto più modulare sulla sicurezza grazie ai tre modelli predefiniti di protezione, meno personalizzabile e quindi più adatto alla resistenza al Fingerprinting. Potete vederlo anche su PrivacyTests così da poterne valutare meglio eventuali differenze!

Differenze con Brave

Per le differenze con Brave, riprendiamo un tweet dello sviluppatore di NoScript che ne parla:

A. Anti-Fingerprinting: Brave genera un’impronta sintetica diversa per sessione; (Mullvad|Tor) Browser offre un’impronta generica comune a grossi gruppi di utenti, rendendoli indistinguibili

B. Solo (Mullvad|Tor) Browser combatte i proxy-leak

C. Chromium -> Brave, Firefox -> Tor Browser -> Mullvad Browser

D. @noscript 😎

A questo proposito vi segnaliamo anche questo interessante thread sul forum di Privacy Guides. In breve: se pensate che “usare Brave sia meglio perché è un Browser Chromium e quindi è più facile avere la stessa impronta rispetto a un Browser che usano in pochi” vi state sbagliando. Mullvad Browser o Tor Browser sembrano essere gli unici che vi permettono di avere un’impronta identica con altre persone e grazie a questo potrete confondervi con altri.

Un Browser difficile per molti utenti

È sicuramente un Browser meno comodo. Ha attualmente alcune mancanze come le bellissime schede contenitore ¹⁷ o alcune nuovissime novità di Firefox come gli screenshot automatici o l’editor PDF integrato.

Su GitHub si trova un confronto eccezionale scritto dallo sviluppatore di Arkenfox ¹⁸. La sua conclusione è, tenetevi forte, che non vede l’ora di poter chiudere la parentesi Arkenfox per poter essere a disposizione di Mullvad Browser. Insomma se gli sviluppatori di Mullvad Browser saranno disposti ad accettare qualche compromesso e qualche modifica di miglioramento nell’utilizzo quotidiano (come ad esempio la possibilità di gestire i Cookie) potrebbe arrivare la fine di Arkenfox per come lo conosciamo ¹⁹.

Prendete ovviamente queste informazioni per quello che sono: post pubblici senza alcuna intenzione di qualche tipo di ufficialità. Tuttavia Mullvad Browser potrebbe cambiare le cose più di quanto ci si aspetta.

Browser predefinito

Così come per Tor Browser, anche per Mullvad Browser è pressoché impossibile (o comunque complesso e non immediato) renderlo un Browser principale ²⁰. Dunque non potrete fare in mano che ogni link premuto vi porti su questo Browser ma dovrete copiare il collegamento e incollarlo su Mullvad.

Conclusioni

Per concludere: probabilmente se cercate un buon compromesso allora LibreWolf rimane un’ottima opzione, potete avere più margine di movimento tra le varie impostazioni (rinunciando tuttavia un po’ di resistenza al Fingerprinting) e rimanere aggiornati con le ultime novità di Firefox.

LibreWolf ha ancora molto da dire e se siete interessati più alla comodità che ad altro è sicuramente il miglior compromesso in circolazione, se escludiamo Brave chiaramente visto che parliamo di Fork di Firefox.

Se invece volete usare un Browser perfetto senza dover toccare nulla secondo noi Mullvad Browser è un’ottima alternativa ma solo se utilizzato con coscienza ovvero senza installare alcuna estensione e senza toccare alcuna impostazione nell’about:config. Come detto anche prima potete benissimo usare Mullvad Browser nella modalità che preferite come Browser principale e passare su LibreWolf solo quando qualche sito vi dà problemi, per esempio.

Mettiamola in questi termini: con Brave o con un profilo Firefox/Arkenfox e senza VPN avrete più o meno la stessa protezione che con Mullvad Browser ma solo se non usate estensioni e con le stesse impostazioni. E a questo punto, probabilmente, tanto vale usare Mullvad.

Come abbiamo detto però siamo solo alla prima release e potrebbero arrivarne delle belle nei prossimi mesi, non ci resta che aspettare. Se Mullvad Browser diventerà leggermente e solo leggermente più user friendly potrebbe davvero diventare un punto di riferimento come alternativa sicura a Firefox.

E su smartphone?

Non troverete, per ora, Mullvad Browser su smartphone. Come sapete però ci sono tantissime alternative altrettanto valide come per esempio l’ottimo Mull. Su Android forse c’è anche meno margine di miglioramento, ma vedremo se prima o poi faranno uscire qualcosa!

1. Tweet di Giorgio Maone | Archive[↩][↩]
2. We’ve Teamed Up With Mullvad VPN to Launch the Mullvad Browser[↩]
3. Disabling “Always use Private Browsing Mode” to persist cookies doesn’t work[↩]
4. WhatsApp web is not working[↩]
5. Mullvad Leta – search engine from Mullvad VPN[↩][↩]
6. Can I install other extensions?[↩]
7. Don’t duck the issue – consider your privacy and search engines[↩]
8. Disabling “Always use Private Browsing Mode” to persist cookies doesn’t work[↩]
9. Tor Browser is built from a modified version of Firefox ESR[↩]
10. Informazioni sul ciclo di rilascio di Firefox ESR[↩]
11. Authoritative DNS server audit completed by Assured AB[↩]
12. When to use our DNS service[↩]
13. For the strongest anti-Fingerprinting protection, we recommend using Mullvad Browser in conjunction with a VPN[↩]
14. Tweet di Mullvad | Archive[↩]
15. Disclosure: I am the owner of arkenfox (started 8+ years ago), have worked behind the scenes with librewolf the last two years[↩]
16. Microsoft Store[↩]
17. Come installare e utilizzare l’estensione Multi-Account Containers per le schede contenitore di Firefox[↩]
18. AF (arkenfox) vs LW (librewolf)[↩]
19. Can’t wait to retire AF[↩]
20. Allow Mullvad Browser to be set as Default Browser[↩]

Unisciti alle comunità