A privacidade dos navegadores em 2026 é principalmente um problema de impressão digital, não um problema de cookies. Os cookies de terceiros são efetivamente eliminados pelo Safari, Firefox e Brave; o Google substituiu-os por APIs do Privacy Sandbox no Chrome. A ameaça não resolvida é a identificação derivada do dispositivo: hashes de canvas, WebGL e assinaturas de áudio — cada um contribuindo, de acordo com pesquisas publicadas, com cerca de 10 ou mais bits de entropia — que persistem entre sessões, VPNs e navegação privada.
Os quatro frentes do rastreamento de navegadores, classificados por nível de ameaça atual:
| Frente | Status em 2026 | Mitigações principais |
|---|---|---|
| Armazenamento (cookies, localStorage) | Largamente resolvido | Particionamento de navegador, ITP, uBlock Origin |
| Impressão digital (canvas, WebGL, áudio) | Ativo, não resolvido | Brave Shields (randomização) ou Tor/Mullvad (uniformidade) |
| Identidade de rede (IP, TLS JA4) | Ativo | VPN + Encrypted Client Hello (ECH) |
| Sensores e canais laterais | Baixo para a maioria dos usuários | Modo de Bloqueio do iOS, modelo de permissão do navegador |
Resumo de recomendações de navegadores:
- Uso diário: Brave (randomização, Shields, cadência de segurança do Chromium)
- Anonimato crítico: Tor Browser ou Mullvad Browser (defesa de uniformidade)
- Usuários do Firefox: LibreWolf (padrões endurecidos, atraso de patch de 2–5 dias)
Mais: Metodologia e fontes · Análise aprofundada dos navegadores de privacidade · Teste a sua impressão digital · Verificador de cabeçalhos de segurança HTTP
Índice
- Por que a privacidade dos navegadores é importante em 2026
- Os quatro frentes do rastreamento de navegadores
- Estado da arte da impressão digital em 2026
- Modo de Bloqueio quatro anos depois
- Comparação de navegadores de privacidade
- Panorama do DNS-over-HTTPS e DNS-over-TLS
- Metodologia de auditoria de extensões
- Ganchos de privacidade a nível de SO
- O que recomendamos para 2026
- Metodologia e fontes
Qual é a maior ameaça à privacidade dos navegadores em 2026?
A impressão digital do navegador — não os cookies — é a ameaça de rastreamento dominante em 2026. Pesquisas publicadas sobre impressão digital ("How Unique Is Your Web Browser?" da EFF / Cover Your Tracks) descobrem que canvas, WebGL e AudioContext cada um contribui com cerca de 10 ou mais bits de entropia. Combinados, esses três vetores tornam a grande maioria dos navegadores de desktop identificáveis de forma única antes de qualquer sinal passivo ser adicionado. Os cookies de terceiros são largamente resolvidos pelo Safari, Firefox e Brave; impressões digitais derivadas do dispositivo não são.
Por que a privacidade dos navegadores é importante em 2026
Os navegadores são a superfície mais exposta em um dispositivo moderno. Eles executam código não confiável de centenas de origens por sessão, mantêm a maioria dos tokens de identidade de um usuário e cada vez mais atuam como o cliente universal para aplicativos que costumavam ser enviados nativamente. Uma página mainstream típica agora carrega JavaScript de muitos domínios de terceiros e subdomínios de primeira parte — um número que tem aumentado constantemente nos últimos anos, como documentam conjuntos de dados de transparência da web pública como o HTTP Archive. A área de superfície continua crescendo.
Duas mudanças nos últimos 18 meses reformularam o modelo de ameaça. Primeiro, a transição pós-cookie forçou os rastreadores a se consolidarem em torno de sinais derivados do dispositivo em vez de sinais derivados do armazenamento. Os cookies sempre foram fáceis de limpar; hashes de canvas não são. Segundo, a demanda por dados de treinamento comportamental cresceu, o que plausivelmente aumenta o valor de revenda da telemetria detalhada do navegador — embora não tenhamos números de primeira parte para quantificar o tamanho dessa mudança.
O efeito combinado é simples. O valor defensivo moveu-se para montante: não basta mais limpar cookies e ativar o Do Not Track. A batalha atual é travada nas camadas de renderização, rede e SO.
Este relatório estabelece uma linha de base. Ele cataloga os quatro principais frentes de rastreamento, o estado da pesquisa de impressão digital em meados de 2026, a evolução do Modo de Bloqueio da Apple desde o iOS 16, o posicionamento realista de cada navegador focado em privacidade ainda mantido ativamente, o ecossistema de criptografia de DNS, o panorama das extensões após o Manifest V3, e os ganchos a nível de SO que valem a pena mencionar no macOS, Linux e Windows. Cada afirmação está enraizada em pesquisa publicada ou documentação de fornecedor, e a seção de metodologia explica de onde vem cada figura.
Os quatro frentes do rastreamento de navegadores
Existem quatro frentes em grande parte independentes. Um modelo de ameaça sério deve considerar todas elas; ignorar qualquer uma geralmente colapsa as outras.
Frente 1 — Rastreamento de armazenamento. Cookies, localStorage, IndexedDB, service workers, Cache API. Esta é a camada mais antiga. Os navegadores modernos particionam a maior parte dela por origem de quadro superior, então a era dos cookies de terceiros está efetivamente encerrada no Safari, Firefox e Brave. O Privacy Sandbox do Chrome substituiu os cookies de terceiros por APIs de Tópicos e Audiência Protegida em 2024, com recepção mista. O rastreamento de armazenamento ainda é útil para análises de primeira parte, mas não permite mais a montagem de perfis entre sites como fazia em 2018.
Frente 2 — Impressão digital. Qualquer coisa passiva, derivada do dispositivo e da pilha de renderização: User-Agent, tamanho da tela, fontes, canvas, WebGL, contexto de áudio, concorrência de hardware, memória do dispositivo, bateria, sensores e a nova fronteira de entropia dos tempos de sombreamento de GPU. A impressão digital não requer armazenamento nem consentimento do usuário. É o método de rastreamento dominante em 2026 para quem leva a sério a persistência de identidade.
Frente 3 — Identidade de rede. Endereço IP, impressão digital TLS (JA3, JA4), padrões de quadros SETTINGS HTTP/2, IDs de conexão QUIC e padrões de consulta DNS. Mesmo com uma VPN, o handshake TLS pode revelar o navegador e a versão exatos. Mesmo com um DNS focado em privacidade, o SNI no ClientHello é visível para o operador de rede, a menos que o Encrypted ClientHello (ECH) esteja em uso.
Frente 4 — Sensores e canais laterais. Microfone, câmera, geolocalização, giroscópio, acelerômetro, luz ambiente e, cada vez mais, as APIs WebHID e WebUSB. A maioria dos usuários encontra prompts de permissão explícitos aqui, mas sensores ambientais em dispositivos móveis vazam dados passivamente e foram usados em ataques publicados para derrotar a injeção de ruído anti-impressão digital.
Cada frente precisa de sua própria mitigação. Uma VPN aborda partes da frente 3, mas nada na frente 2. Um navegador de privacidade aborda partes das frentes 1 e 2, mas apenas marginalmente melhora a frente 3. O Modo de Bloqueio é uma das poucas funcionalidades que toca as frentes 2 e 4 ao mesmo tempo.
Estado da arte da impressão digital em 2026
Seis vetores de impressão digital carregam a maior parte da entropia em 2026. Listamo-los em ordem decrescente de densidade de informação, baseando-nos em pesquisas publicadas sobre impressão digital ("How Unique Is Your Web Browser?" da EFF e o projeto Cover Your Tracks) em vez de quaisquer medições próprias.
Impressão digital de canvas continua a ser o vetor único de maior entropia — pesquisas publicadas colocam-na na ordem de 16 bits em média. Renderizar um glifo complexo com anti-aliasing subpixel produz hashes que variam com o driver da GPU, versão do SO, subconjunto de fontes e perfil de cores. A atualização de 2026 é que os navegadores agora expõem capacidades suficientes do WebGPU para que, mesmo quando o canvas 2D é randomizado, o canvas 3D possa ser consultado para o mesmo propósito.
Impressão digital de WebGL está logo atrás, na ordem de 14 bits. A extensão WEBGL_debug_renderer_info expõe as strings de fornecedor e renderizador não mascaradas em todos os navegadores de desktop, exceto no modo estrito do Brave Shields e no Tor Browser. Mesmo com essa extensão bloqueada, consultas de parâmetros em MAX_TEXTURE_SIZE, ALIASED_LINE_WIDTH_RANGE e a lista de extensões suportadas podem reconstruir o modelo da GPU com alta confiabilidade.
Impressão digital de áudio via OfflineAudioContext produz na ordem de 11 a 12 bits em pesquisas publicadas. Uma breve passagem de oscilador por um compressor de dinâmica produz valores de buffer que dependem do subsistema de áudio e da implementação de ponto flutuante de hardware. O vetor é conhecido desde 2016 e permanece estável entre as versões do navegador porque alterá-lo quebraria o pipeline de áudio.
Enumeração de fontes é a surpresa de 2026. A enumeração direta foi descontinuada, mas a detecção indireta através da renderização CSS de um conjunto de glifos conhecido ainda discrimina um número significativo de bits. A API de Fontes Locais, protegida por um prompt de permissão, vaza uma grande quantidade de entropia quando concedida — razão pela qual nenhum navegador de privacidade a expõe.
Concorrência de hardware e memória do dispositivo juntos adicionam alguns bits. Os valores são grosseiros (navigator.hardwareConcurrency é arredondado, deviceMemory retorna um de cinco intervalos), mas combinados com a resolução da tela e a proporção de pixels, eles reduzem significativamente o pool.
Dicas de Cliente User-Agent são a solução pós-User-Agent que o Chrome impulsionou em 2022 e que agora se estabilizou. As dicas de alta entropia (versão completa do navegador, arquitetura, modelo) são protegidas por uma solicitação de servidor, mas vazam assim que o servidor pede — o que a maioria dos sites faz.
Dois vetores emergentes merecem destaque. Temporização de sombreamento de GPU explora diferenças de microbenchmark entre famílias de GPU, com trabalhos acadêmicos recentes relatando entropia adicional não bloqueada pelas heurísticas atuais de anti-impressão digital. Impressão digital a nível de TLS (JA4) opera abaixo do navegador e é invisível para extensões; discrimina navegadores, versões de navegador e plataformas com precisão extremamente alta.
O panorama defensivo divide-se em duas estratégias. A abordagem de randomização (Brave, LibreWolf) injeta ruído por sessão em saídas de canvas, áudio e WebGL. Funciona para sessões individuais, mas é frágil em visitas longas se a semente de randomização vazar. A abordagem de uniformidade (Tor Browser, Mullvad Browser) tenta fazer com que cada usuário produza a mesma impressão digital. Funciona apenas se você aceitar as restrições: tamanho de janela fixo, conjunto de fontes fixo, trade-offs de JIT e sem extensões. Não há uma terceira via.
Modo de Bloqueio quatro anos depois
A Apple lançou o Modo de Bloqueio no iOS 16 em 2022, direcionado a jornalistas, ativistas e pessoas enfrentando adversários a nível estatal. Quatro anos depois, a funcionalidade é mais ambiciosa, mais utilizável e discretamente disponível no macOS e iPadOS também. Os trade-offs originais do Safari que documentamos em nossa análise aprofundada anterior sobre a desativação do JIT no iOS 16 ainda se mantêm, mas a pegada da funcionalidade expandiu-se substancialmente.
O conjunto de funcionalidades de 2022 cobria o Safari (JIT desativado, várias APIs bloqueadas), Mensagens (pré-visualizações de links desativadas, a maioria dos tipos de anexos bloqueados), conexões com fio (exigindo desbloqueio para conectar) e perfis de configuração (bloqueados para instalação). O conjunto de funcionalidades de 2026 adiciona: verificação de volume do sistema assinado no macOS, atestação completa das condições de rede no iPadOS, aplicação de transparência de certificados na camada de SO, uma pilha WiFi endurecida que recusa WPA2 em algumas condições e restrições mais rígidas de emparelhamento Bluetooth.
Para o navegador especificamente, a configuração sem JIT amadureceu. O JavaScript é significativamente mais lento porque o JavaScriptCore recai no seu caminho de intérprete, mas a lista de sites quebrados diminuiu ao longo do tempo. A maior melhoria veio dos fallbacks de WebAssembly: Figma, Photopea e a maioria das ferramentas de PDF no navegador agora enviam caminhos de JavaScript que ativam quando o WASM não está disponível.
O Modo de Bloqueio também agora é copiável. O Firefox lançou um predefinição "Resist Fingerprinting" em 2024 (privacy.resistFingerprinting = true) que aproxima as proteções do lado do navegador, embora sem a etapa de desativação do JIT. O Mullvad Browser agrupa os mesmos padrões mais os patches anti-impressão digital do Tor Browser. No Android, o GrapheneOS introduziu suas próprias restrições de sandbox por aplicativo em 2025 que espelham os objetivos de endurecimento do macOS.
A avaliação honesta é que o Modo de Bloqueio é uma das únicas funcionalidades de privacidade de SO mainstream que vale a pena ativar para um modelo de ameaça sério. O custo é real (uma pequena parte dos sites degradados, JavaScript notavelmente mais lento), mas limitado. Recomendamo-lo para qualquer jornalista, ativista, advogado ou pessoa com exposição a riscos elevados. Não o recomendamos como padrão para uso geral.
Comparação de navegadores de privacidade
Cinco navegadores valem a pena serem avaliados para privacidade em 2026: Brave, Tor Browser, Mullvad Browser, LibreWolf e Firefox com endurecimento manual. Avaliamo-los em sete critérios: superfície de impressão digital, proteção de identidade de rede, qualidade de bloqueador, desempenho, ergonomia, cadência de atualização e suporte a extensões.
Brave oferece a melhor experiência pronta para uso para a maioria dos usuários. Shields bloqueia rastreadores e anúncios por padrão, a impressão digital é randomizada por sessão por origem, o armazenamento de terceiros é particionado. Ele usa o Chromium sob o capô, então o desempenho está em par com o Chrome. Os trade-offs: a empresa teve controvérsias de governança, o Brave Rewards adiciona rastreamento de atenção mesmo quando desativado (a superfície está lá, apenas inativa), e algumas APIs do Chromium vazam mais entropia do que equivalentes no Firefox. Para a maioria dos usuários, continua a ser o navegador de privacidade padrão mais forte.
Tor Browser é o padrão ouro para identidade de rede e anti-impressão digital no estilo de uniformidade. Ele roteia o tráfego através de três relays, impõe um tamanho de janela fixo, envia um conjunto de fontes fixo e desativa o JIT (JavaScript mais lento, mesmo trade-off que o Modo de Bloqueio). Também é o navegador mais lento por uma ampla margem e o mais desconfortável de usar para navegação diária. Reserve-o para tarefas de alta sensibilidade: contato com fontes, pesquisa anônima, regiões censuradas.
Mullvad Browser, lançado em 2023 em parceria com o Tor Project, é o Tor Browser sem o Tor. Mesmos patches anti-impressão digital, mesmo tamanho de janela fixo, mesmo JIT desativado, mas usa sua conexão de rede regular (ou uma VPN). Para usuários que querem endurecimento de navegador ao nível do Tor sem a latência de roteamento em cebola, esta é a melhor opção. O desempenho é aceitável, a cadência de atualização é razoável (a cada duas a três semanas), e a ergonomia é quase idêntica ao Firefox.
LibreWolf é uma compilação endurecida do Firefox com padrões sensatos: Resist Fingerprinting ativado, telemetria desativada, DNS-over-HTTPS pré-configurado para um resolvedor que respeita a privacidade, uBlock Origin pré-instalado. É a opção de menor atrito para usuários de desktop que querem um Firefox limpo sem gastar uma hora em about:config. A desvantagem: atraso na atualização, tipicamente de 2 a 5 dias atrás das versões do Firefox upstream, o que significa uma pequena janela de exposição durante patches críticos de CVE.
Firefox em si, com ajuste manual, continua a ser o navegador de privacidade mais flexível. Defina privacy.resistFingerprinting = true, network.trr.mode = 3 para modo estrito de DNS-over-HTTPS, instale o uBlock Origin completo e NoScript, desative a telemetria, e você se aproxima do LibreWolf com os patches mais recentes. O custo é o trabalho manual e o risco de configuração incorreta.
Não incluímos forks endurecidos do Chromium como o Ungoogled Chromium na comparação principal porque sua cadência de atualização tende a ficar bem atrás das versões de segurança do Chromium upstream, o que os torna mais arriscados para uso diário em 2026 — enquanto o LibreWolf tipicamente fica apenas alguns dias atrás do Firefox.
Nossa matriz de recomendação para a maioria dos leitores: Brave para navegação diária, Mullvad Browser para pesquisa sensível, Tor Browser quando o anonimato é o objetivo principal, LibreWolf ou Firefox com endurecimento manual para usuários que preferem o ecossistema do Firefox.
Panorama do DNS-over-HTTPS e DNS-over-TLS
O DNS é a camada que a maioria dos usuários ignora, e é a primeira que um operador de rede curioso olha. Em 2026, o DNS criptografado é finalmente um tópico resolvido: DoH e DoT estão implantados amplamente o suficiente para que uma solicitação DNS não criptografada seja um erro de configuração, não um padrão.
A escolha entre DoH e DoT depende de onde o resolvedor está. DoH (RFC 8484) roda na porta 443 e é indistinguível do HTTPS normal na camada de rede. Isso torna mais difícil de bloquear, razão pela qual navegadores móveis e dispositivos de consumo o definem como padrão. DoT (RFC 7858) roda na porta 853 e é trivialmente identificável. Para resolvedores a nível de infraestrutura, o DoT é mais limpo e fácil de monitorar; para dispositivos cliente, o DoH ganha em acessibilidade.
O panorama dos resolvedores agrupou-se em torno de quatro provedores sérios:
Cloudflare 1.1.1.1: maior infraestrutura, latência mais rápida na maioria das regiões, implantação anycast com tempos de resposta de aproximadamente sub-15ms. A política de privacidade é razoável (retenção de 24 horas, sem revenda), mas a posição da Cloudflare na internet mais ampla (CDN, WAF, Workers) significa que para alguns usuários a escolha do resolvedor não é o gargalo.
Quad9 (9.9.9.9): baseado na Suíça, operado por uma organização sem fins lucrativos, inclui bloqueio de malware por padrão. Um pouco mais lento que o Cloudflare, com latência mediana de aproximadamente sub-25ms na Europa e sub-40ms na América do Norte. As garantias de privacidade mais fortes de qualquer resolvedor principal: sem registro de IP na borda do resolvedor, apenas contagens de consultas agregadas.
NextDNS: não é um resolvedor público, mas um serviço de conta pessoal com controles extensivos de registro e filtragem. Forte ajuste para usuários que querem políticas de filtragem por dispositivo, análises e decisões de bloqueio por consulta. O trade-off de privacidade é que o NextDNS vê seu log de consultas completo; você confia neles com os dados que o resolvedor normalmente descarta.
Resolvedores personalizados (Unbound, Pi-hole + Unbound, Knot Resolver, dnscrypt-proxy): a postura de privacidade mais forte é o seu próprio resolvedor fazendo resolução iterativa para servidores autoritativos. Nenhuma terceira parte vê o fluxo de consultas completo. O custo é operacional: você mantém o resolvedor, você lida com a validação DNSSEC, você depura casos de borda. Recomendado para usuários técnicos com um homelab ou um VPS, não para o público em geral.
Em 2026, três padrões de implantação valem a pena serem documentados:
- Apenas DNS a nível de SO, DoH do navegador desativado. O resolvedor do SO lida com tudo. Mais previsível. Padrão recomendado.
- DoH do navegador mais DNS do SO (resolvedores diferentes). O navegador vê um conjunto de resoluções, o SO vê outro. Útil para compartimentalização, mas operacionalmente confuso.
- DNS sobre sua VPN com o resolvedor da VPN fazendo pesquisas iterativas. A combinação mais forte se o provedor de VPN for confiável e não mantiver logs. Mullvad e IVPN oferecem isso.
Uma nota sobre Encrypted ClientHello (ECH): a partir de meados de 2026, o ECH está implantado em origens front-end pela Cloudflare por padrão e é honrado pelo Firefox 128+, Chrome 122+ (atrás de uma flag) e Safari 18. O ECH fecha o vazamento de SNI que o DoH sozinho não aborda. Ative-o se o seu navegador o suportar.
Metodologia de auditoria de extensões
O Manifest V3 remodelou o panorama das extensões. O prazo do Chrome para o encerramento completo do MV2 em meados de 2024 forçou cada extensão de privacidade a enviar uma compilação MV3 com capacidades reduzidas ou permanecer apenas no Firefox. Auditamos extensões em cinco eixos: capacidade sob MV3, mecanismo de atualização de lista de bloqueio, filtragem dinâmica vs estática, suporte a desmascaramento de CNAME e a postura de privacidade da própria extensão (telemetria, modelos de patrocinador, coleta de dados).
uBlock Origin (completo): apenas compilação MV2 do Firefox. Melhor da categoria. Suporta filtragem dinâmica, configurações avançadas, desmascaramento de CNAME, listas de filtros personalizadas com regex. Se você pode executar o Firefox, execute o uBlock Origin completo.
uBlock Origin Lite: compilação MV3, disponível no Chromium e Firefox. Aproximadamente 85 a 90% tão eficaz quanto o uBO completo no conjunto padrão EasyList. Sem filtragem dinâmica, sem desmascaramento de CNAME, sem regras avançadas por site. Aceitável para usuários do Chromium; subótimo no Firefox, onde a versão completa ainda está disponível.
NoScript: controle de JavaScript por origem. Disponível no Firefox e Chromium com suporte a MV3. A defesa mais forte contra impressão digital drive-by se você aceitar o custo de experiência do usuário de permitir scripts por origem. Usamo-lo em perfis endurecidos, não em diários.
Privacy Badger: bloqueio heurístico de rastreadores da EFF. Compatível com MV3. Bom complemento para uBO, mas não um substituto. Sua força é aprender com o comportamento de rastreamento observado; sua fraqueza é que ele só captura rastreadores que já rastrearam o usuário pelo menos três vezes.
Cookie AutoDelete e equivalentes: exclusão de cookies baseada em contêiner ou regras. Principalmente redundante em 2026, já que o particionamento de armazenamento a nível de navegador lida com o mesmo objetivo de forma mais confiável.
ClearURLs: remove parâmetros de rastreamento de URLs. Leve, útil, sem desvantagem real. Recomendado.
Extensões que recomendamos evitar: qualquer extensão cujo modelo de negócios seja a coleta de dados (vários bloqueadores de anúncios populares têm isso), qualquer extensão que exija contas e sincronização em nuvem de dados de navegação, qualquer extensão com permissões amplas e histórico de propriedade incerto. Os casos de 2024 de extensões anteriormente confiáveis sendo vendidas para corretores de dados devem ser um lembrete permanente: as permissões de extensão são uma superfície de ataque de privacidade, não apenas uma superfície de funcionalidade.
Um método de auditoria reprodutível que qualquer pessoa pode aplicar: execute cada extensão em um perfil limpo, capture solicitações HTTP com um proxy transparente, compare o gráfico de solicitações contra o mesmo perfil sem extensões, depois compare o que a extensão mudou e quais dados ela enviou para casa.
Ganchos de privacidade a nível de SO
O endurecimento do navegador é necessário, mas não suficiente. O SO vê mais do que o navegador e vaza mais do que a maioria dos usuários percebe. Três plataformas, três conjuntos de ganchos diferentes.
macOS. A Apple faz o trabalho pesado por padrão — sandboxing, permissões TCC, volume do sistema assinado, assinatura de código — mas quatro alternâncias valem a pena serem ativadas. Desative o compartilhamento de análises (Configurações do Sistema → Privacidade → Análises). Desative as Sugestões da Siri para o Spotlight. Defina as configurações de Privacidade do Safari para "Prevenir rastreamento entre sites" mais "Ocultar endereço IP de rastreadores e sites" (o que roteia através do iCloud Private Relay se você tiver iCloud+). Para usuários com risco elevado, ative o Modo de Bloqueio a nível de SO — ele se propaga para todos os navegadores e Mensagens. Em termos de rede, configure um resolvedor DNS personalizado nas preferências de Rede em vez de depender apenas do DoH a nível de navegador; isso evita divergência de DNS por aplicativo.
Linux. Os padrões variam por distribuição. Na maioria das distribuições de desktop (Fedora, Ubuntu, Debian), o navegador padrão é enviado com telemetria ativada e DoH desativado. A configuração mais limpa é instalar o Mullvad Browser ou LibreWolf, configurar systemd-resolved com um resolvedor DoT e usar um namespace de rede ou perfil firejail para sandbox do navegador. Para perfis de alto risco, o Qubes OS com VMs de navegador descartáveis ainda é a resposta mais rigorosa em 2026; também é a mais exigente de operar. Wayland sobre X11 previne uma categoria de ataque de keylogging entre aplicativos; se sua distribuição ainda tiver X11 como padrão, a migração vale a pena.
Windows. O padrão mais exposto dos três. A telemetria funciona intensamente e não é totalmente desativável pela GUI — use Política de Grupo ou PowerShell para reduzi-la. Desative o ID de Publicidade (Configurações → Privacidade → Geral). Desative "Permitir que aplicativos usem meu ID de publicidade". Para escolha de navegador, Brave ou Firefox mais o endurecimento descrito acima. Em termos de DNS, o Windows 11 suporta DoH nativamente (Configurações → Rede → Atribuição de servidor DNS → DoH "Ligado" com um servidor manual), que é a maneira mais limpa de garantir que todos os aplicativos compartilhem um único resolvedor criptografado. O maior passo único de endurecimento no Windows em 2026 é desativar o Recall (a indexação de captura de tela a nível de SO introduzida em 2024) se estiver ativada na sua compilação; ele indexa tudo o que você vê, incluindo sessões de navegação privada.
Em todas as três plataformas, a regra é a mesma: cada camada que pode vazar deve ser configurada explicitamente. Os padrões mudam ao longo do tempo, às vezes silenciosamente. Audite a cada atualização de versão principal.
O que recomendamos para 2026
Uma matriz de decisão supera uma única recomendação. Mapeie-se contra um dos quatro perfis e aja de acordo.
Perfil A — Usuário geral consciente da privacidade. Você lê notícias, usa serviços de streaming, faz operações bancárias online, não tem adversários específicos. Execute Brave no seu dispositivo diário com Shields nas configurações padrão. Defina seu DNS de SO para Cloudflare 1.1.1.1 ou Quad9 sobre DoH. Use uma VPN respeitável para viagens e WiFi público apenas. Instale o uBlock Origin completo se puder mudar para o Firefox; caso contrário, uBO Lite mais ClearURLs no Brave. Não ative o Modo de Bloqueio. Não instale o NoScript. Custo de manutenção: 10 minutos por versão de SO.
Perfil B — Trabalhador de tecnologia, desenvolvedor, empregador sensível. Seu trabalho ou seu empregador fazem de você um alvo de maior valor. Execute Firefox com privacy.resistFingerprinting = true, modo estrito de DNS-over-HTTPS, uBlock Origin, NoScript em uma lista de permissões por origem e uma VPN ativa em tempo integral. Use Mullvad Browser para navegação pessoal onde a telemetria de trabalho seria problemática. Audite as extensões instaladas a cada seis meses. Custo de manutenção: cerca de 30 minutos por mês.
Perfil C — Jornalista, ativista, advogado com casos sensíveis. Você lida com material de fontes ou clientes que requerem modelagem de ameaça adversarial real. Execute Tor Browser para contato com fontes e pesquisa sensível. Execute Mullvad Browser para tudo o que é sensível, mas não crítico para anonimato. Ative o Modo de Bloqueio no seu iPhone e no seu Mac. Use o Signal para mensagens. Compartimentalize: um dispositivo separado para trabalho de alto risco não é paranoia, é higiene. Custo de manutenção: cerca de 2 horas por mês mais uma revisão de segurança anual.
Perfil D — Engenheiro executando um produto que respeita a privacidade. Você está construindo algo para usuários que se importam. Além da sua própria postura de navegação, você tem responsabilidades. Prefira análises de primeira parte com truncamento de IP. Use renderização do lado do servidor sempre que possível para reduzir o script do lado do cliente. Audite scripts de terceiros trimestralmente. Publique uma política de privacidade clara que mapeie para fluxos de dados reais. Adote regras CSP que impeçam qualquer terceiro de injetar rastreadores após a implantação. A manutenção faz parte da prática de engenharia, não um extra.
Para usuários que querem uma única utilidade de extensão que ajude, não importa o perfil, a referência de bookmarklets que mantemos cobre algumas ferramentas de um clique (instantâneo do archive.org instantâneo, teste de resolvedor DNS instantâneo, desativar-todo-JS instantâneo) que complementam qualquer um dos quatro perfis acima.
Em todos os perfis, o modo de falha é o mesmo: configurar uma vez, esquecer por dois anos, ficar atrás dos padrões. A postura de privacidade é uma prática de manutenção, não uma configuração única.
Metodologia e fontes
Este pilar é uma síntese de pesquisas publicadas, documentação de fornecedores e especificações de padrões. Não executamos um painel de medição privado; cada afirmação quantitativa é baseada ou condicionada de acordo.
Figuras de entropia de impressão digital. Os valores de entropia neste relatório vêm de pesquisas públicas — principalmente o estudo "How Unique Is Your Web Browser?" da EFF e o projeto Cover Your Tracks, além da literatura de impressão digital publicada mais ampla. Apresentamo-los como aproximados (canvas na ordem de 16 bits, áudio na ordem de 11 a 12 bits), não como decimais que medimos nós mesmos.
Comparação de navegadores. A avaliação do navegador compara as versões estáveis atuais do Brave, Tor Browser, Mullvad Browser, LibreWolf e Firefox usando seus recursos publicados e padrões documentados, juntamente com os benchmarks públicos padrão (Speedometer, JetStream) que qualquer leitor pode executar em seu próprio hardware. Onde descrevemos trade-offs de desempenho (por exemplo, JIT-off sendo mais lento), a direção é bem documentada; não publicamos números de benchmark proprietários.
Quebra de sites no Modo de Bloqueio. A afirmação qualitativa — de que uma pequena e decrescente parte dos sites mainstream degrada sob o Modo de Bloqueio — reflete a documentação da Apple e o comportamento amplamente relatado. Não anexamos uma porcentagem precisa de primeira parte a isso.
Latência do resolvedor DNS. As comparações de latência são aproximadas e direcionais (Cloudflare tipicamente mais rápido, Quad9 ligeiramente mais lento, variação regional esperada). Os leitores podem medir sua própria latência com ferramentas públicas de benchmark de DNS; não publicamos um conjunto de dados de sonda proprietário.
O que não medimos diretamente. As figuras de impressão digital TLS JA4 vêm de pesquisas publicadas; não realizamos nenhuma medição TLS própria. O comportamento do Recall no Windows 11 reflete o comportamento documentado de 2024 mais os patches de 2025; não testamos o Recall diretamente. Suítes TLS resistentes a quânticos não são cobertas porque a implantação ainda é muito inconsistente para descrever de forma útil em 2026.
Nosso objetivo é manter este relatório preciso como um instantâneo de meados de 2026 e torná-lo barato para qualquer pessoa verificar contra as fontes públicas citadas. Se uma figura aqui discordar de uma medição publicada mais recente, trate a fonte mais recente como autoritária.
Para mergulhos mais profundos em vetores específicos mencionados acima, veja nosso guia de estado da arte de impressão digital de navegadores cobrindo cada vetor ativo e passivo com estimativas de entropia extraídas de pesquisas publicadas sobre impressão digital. Para uma análise aprofundada de uma única funcionalidade existente, nossa análise do Modo de Bloqueio do iOS percorre o mecanismo JIT-off de ponta a ponta. Para utilitários leves no navegador que complementam qualquer postura de privacidade, veja nossa coleção de bookmarklets, nossa ferramenta de teste de impressão digital de navegador para medir sua própria exposição, e nosso verificador de cabeçalhos de segurança HTTP para auditar suas propriedades web.
