Anúncios são um fato da internet moderna. Eles mantêm o conteúdo gratuito, mas muitas vezes vêm ao custo de sua privacidade. Na Mozilla, acreditamos que existe uma maneira melhor. Sabemos que os anúncios podem parecer invasivos quando dependem da coleta e da circulação de dados pessoais. Nossa abordagem é diferente: construir um sistema de anúncios que evite essas práticas e proteja sua privacidade desde o início. Nosso objetivo é tornar os anúncios relevantes sem serem perturbadores, enquanto geramos receita sustentável para manter o Firefox independente e alinhado à nossa missão.

Neste artigo, explicaremos como os anúncios funcionam atualmente no Firefox, incluindo os sinais limitados que usamos e o porquê. Embora os detalhes técnicos possam evoluir à medida que aprendemos e melhoramos, nosso compromisso com os Princípios de Privacidade da Mozilla permanece inalterado.

Controle sobre sua experiência com anúncios

Você pode desativar os anúncios no Firefox a qualquer momento. Veja como. Você também tem ferramentas para dispensar anúncios individuais ou denunciá-los. Somos cuidadosos com os anunciantes com quem trabalhamos e só permitimos anúncios que se alinhem com a marca e os valores da Mozilla. Proteger sua experiência significa não apenas dar a você o controle, mas também garantir que os anúncios que você vê atendam aos padrões que estabelecemos.

Código aberto

O Firefox é de código aberto. Os componentes técnicos principais que determinam como os anúncios no Firefox funcionam são transparentes e acessíveis para que a comunidade os compreenda.

Alguns aspectos da publicidade, como termos comerciais, não são publicados porque não descrevem como o sistema funciona tecnicamente. O que importa para usuários e desenvolvedores é transparente: o código do Firefox, os fluxos de dados e as proteções de privacidade incorporadas ao design.

Protegendo a privacidade

A privacidade é a base de nossa abordagem de anúncios, assim como é no Firefox como um todo. Os anunciantes não precisam saber quem você é para alcançá-lo, e não permitimos que eles o rastreiem pela internet. Isso significa que não há cookies de terceiros nem IDs de dispositivo. Isso corresponde à nossa abordagem de coleta de dados em todo o Firefox — coletando apenas o necessário, nunca mais. Nós não vendemos nem compartilhamos seus dados pessoais.

Ainda existem maneiras pelas quais os anunciantes tentam identificar as pessoas. As mais comuns são o rastreamento direto entre sites, o fingerprinting (impressão digital do navegador) e anúncios maliciosos baseados em detalhes do dispositivo. Nas seções a seguir, abordaremos cada um deles e as medidas que estamos tomando para evitá-los.

1) Impedindo o rastreamento entre sites

Nossa abordagem: Eliminar identificadores entre sites e tratar os sinais de rede como sensíveis. A entrega de anúncios deve funcionar sem exigir um ID de nível de usuário e sem expor seu endereço IP real.

Como isso difere da prática comum

• A maioria dos publicadores: envia o IP real do usuário nas solicitações de anúncios sem modificação.
• Publicadores focados em privacidade: podem truncar o IP (por exemplo, remover o último octeto → 192.0.2.xxx) antes de enviar.
• Abordagem da Mozilla (além de ambas): substituímos o IP real por um IP sintético/proxy de um conjunto controlado pela Mozilla, mapeado apenas para a região geral. É compartilhado entre muitos usuários e não é estável por usuário.

O Mozilla Ads não usa:

• Cookies de terceiros para entrega de anúncios
• Identificadores de dispositivo (por exemplo, IDs de publicidade móvel)
• IDs de usuário únicos

IP e localização: como protegemos seu IP (e por que algum IP é usado)

Algum sinal de rede é necessário para coisas básicas como verificações de fraude e exibição de anúncios apropriados para a região. Como um endereço IP pode atuar como um identificador flexível, nós o tratamos como sensível.

• Solicitações passam pela Mozilla: As solicitações de anúncios se originam da infraestrutura controlada pela Mozilla, não do seu dispositivo. Os sistemas de compra de anúncios (por exemplo, exchanges/SSPs) não recebem seu IP real na solicitação de anúncio.
• Mapeamento regional aproximado: Substituímos por um IP operado pela Mozilla de sua área geral (cidade/metrópole) para que os anúncios possam ser relevantes para a região e as verificações de integridade possam ser executadas sem expor sua residência.
• Compartilhado, não pessoal: Os IPs substituídos são usados por muitos pessoas e não são estáveis por usuário, então não podem servir como identificadores duradouros.
• Sem localização precisa: Não enviamos coordenadas de GPS ou de nível de rua; qualquer localização fornecida é aproximada e derivada do endereço IP protegido.

Isso remove completamente o IP real do fluxo de lances (bidstream), preservando apenas a utilidade mínima (por exemplo, relevância em nível de cidade, verificações básicas de fraude). É por isso que nossa abordagem é inovadora, mesmo entre os publicadores mais focados em privacidade.

Resultado: Os anunciantes não podem segui-lo entre sites por meio de cookies, IDs de dispositivo ou um ID de usuário. Os compradores não veem seu IP real, e quaisquer sinais usados são aproximados, compartilhados e não estáveis — reduzindo a chance de que dados sobre você se acumulem no ecossistema ou possam ser cruzados com outros conjuntos de dados.

2) Proteções contra fingerprinting (impressão digital do navegador)

O que é: Mesmo sem cookies ou IDs de dispositivo, alguns sistemas de anúncios tentam identificar um navegador combinando muitos pequenos detalhes (como características do dispositivo ou do navegador). Isso é chamado de fingerprinting (impressão digital do navegador).

Nossa abordagem: Fazer seu navegador se misturar na multidão e excluir detalhes de alta entropia dos fluxos de anúncios.

O que fazemos:

• User agent padronizado: Normalizamos as strings de user-agent para evitar que configurações raras se destaquem.
• Minimização de sinais: As solicitações de anúncios incluem apenas campos necessários e de baixo risco (por exemplo, uma única categoria de contexto, região aproximada). Evitamos enviar detalhes de dispositivo de alta entropia.
• Sem JavaScript do lado do anúncio na Nova Aba do Firefox: Os anúncios não podem executar seus próprios scripts aqui, o que bloqueia técnicas comuns de fingerprinting ativo.
• Sem dados demográficos para entrega de anúncios: Não coletamos nem compartilhamos idade, gênero ou características semelhantes para anúncios.
• Higienização de cabeçalhos: Normalizamos cabeçalhos sensíveis sempre que possível para reduzir a singularidade.

Resultado: Os anunciantes não podem identificá-lo de forma confiável com base em peculiaridades do dispositivo/navegador, e os anúncios podem funcionar sem vigilância.

3) Proteção contra anúncios maliciosos

O que é: “Malvertising” (publicidade maliciosa) é quando um anúncio tenta executar código prejudicial, forçar redirecionamentos, coletar dados ou se passar por uma interface de usuário confiável. O vetor comum é o JavaScript de terceiros enviado com os criativos de anúncios.

Nossa abordagem: Os anúncios nunca executam seu próprio código de terceiros. Os anúncios são entregues apenas como dados, por meio de um serviço de roteamento de anúncios operado pela Mozilla, e renderizados pelo próprio Firefox, de modo que nenhum JavaScript de anúncio externo é executado.

O que fazemos

• Entrega somente de dados: Os anúncios chegam à Nova Aba do Firefox (HNT) como JSON, não como pacotes HTML/JS de terceiros.
• Mozilla no meio: O cliente Firefox nunca se conecta diretamente a redes de anúncios externas. Todas as solicitações vão para um serviço de roteamento de anúncios controlado pela Mozilla que impõe políticas e remove caminhos de código ativo.
• Limite estrito de JS: Apenas o código do próprio Firefox é executado. Nenhum JavaScript fornecido pelo criativo é executado na Nova Aba, o que remove um canal principal para malware e scripts de rastreamento.
• Renderização sob o controle do Firefox: O Firefox transforma os dados do anúncio em visuais usando seu próprio HTML/CSS/JS, mantendo um ambiente de execução único e auditável.
• Salvaguardas de criativos e demanda: Aceitamos anúncios apenas de fontes confiáveis e aplicamos padrões de marca/categoria alinhados com os valores da Mozilla.
• Controles do usuário: Você pode dispensar ou denunciar um anúncio; agimos rapidamente para revisar e desativar criativos ou compradores ruins em todo o inventário.

Como isso difere da prática comum A maior parte da indústria de anúncios envia criativos como HTML/CSS/JavaScript que são executados em seu navegador (geralmente por meio de tags/iframes). Em contraste, o Firefox recebe anúncios somente de dados por meio de um proxy operado pela Mozilla, e apenas o JS do próprio Firefox é executado. Isso reduz significativamente o risco de malware e elimina uma via principal para o rastreamento de terceiros.

Resultado: Os anúncios na Nova Aba do Firefox priorizam a segurança e a integridade em detrimento da interatividade de terceiros. Continuamos a avaliar se uma interatividade limitada e que preserve a privacidade pode ser suportada no futuro, sem enfraquecer essas proteções.

Como usamos dados no Mozilla Ads

Usamos sinais mínimos e com proteção de privacidade — apenas o suficiente para fazer os anúncios funcionarem e mantê-los relevantes no momento. Anúncios irrelevantes ou deslocados não servem a ninguém. Nós não vendemos nem compartilhamos seus dados pessoais.

O que enviamos (mantido ao mínimo para relevância e integridade)

• Contexto (uma categoria): Uma única categoria IAB para o posicionamento (por exemplo, “esportes” ou “ciclismo”). Não enviamos URLs de página ou conteúdo completo, e não enviamos várias categorias em uma única chamada.
• Região aproximada: Localização em nível de cidade/metrópole, para que as ofertas façam sentido geográfico básico — sem GPS ou precisão de nível de rua.
• Básicos de entrega: Detalhes não identificadores necessários para renderizar um anúncio (por exemplo, tamanho do espaço) mais sinais de rede com proteção de privacidade (veja IP e localização acima).
  • User-agent (normalizado): A string de user-agent geralmente revela detalhes como a versão do seu navegador, sistema operacional e tipo de dispositivo. A maioria dos sistemas de anúncios a repassa sem alterações, o que facilita seu fingerprinting (veja Proteções contra fingerprinting acima). No Firefox, nós redigimos as strings de user-agent para reduzir a singularidade:
    • Versão do Firefox: Usamos a versão mais recente do Firefox ou, se você estiver em uma compilação mais antiga, a mais recente menos um.
    • Sistema operacional: Usamos apenas tipos amplos de SO e plataforma para as principais plataformas, sem expor informações detalhadas do sistema.
    • Isso impede que os anunciantes identifiquem configurações raras que poderiam fazer você se destacar.

Dados excluídos dos anúncios

• Sem histórico de navegação: O histórico, os favoritos, as abas abertas ou as pesquisas do Firefox nunca são incluídos nas solicitações de anúncios.
• Sem identificadores entre sites: Cookies de terceiros, IDs de dispositivo e IDs de usuário únicos não são usados.
• Sem dados de perfil pessoal: Dados demográficos, como idade, gênero ou características semelhantes, não são coletados ou compartilhados para a entrega de anúncios.
• Sem gráficos de identidade: Os anúncios do Firefox não usam e-mails com hash nem participam de sistemas de identidade entre sites.
• Sem localização precisa / endereço IP real: Coordenadas de GPS e seu endereço IP real nunca são usados em solicitações de anúncios.

Por que isso ajuda sua experiência

Um conjunto pequeno e previsível de sinais nos permite exibir anúncios que são relevantes o suficiente para valer sua atenção — sem coletar dados em excesso. Esse equilíbrio suporta uma experiência melhor e mantém o uso de dados limitado e sob o controle da Mozilla.

Nosso compromisso

O ecossistema de anúncios há muito tempo assume que mais dados é melhor. Nós discordamos. Nós não vendemos nem compartilhamos seus dados pessoais, e você está sempre no controle — desative os anúncios, dispense-os ou denuncie-os. Usamos apenas sinais mínimos e com proteção de privacidade para que os anúncios sejam relevantes o suficiente para valer sua atenção, não seus dados. Esta é uma mudança difícil contra as práticas estabelecidas da indústria, mas a independência faz parte de quem somos. Estamos fazendo isso para sustentar o Firefox e manter viva a missão da Mozilla — defender uma internet saudável e aberta. Esta abordagem financia o Firefox e apoia uma internet aberta e acessível sem comprometer nossa promessa a você.