Os anúncios são um facto da Internet moderna. Mantêm o conteúdo gratuito, mas muitas vezes à custa da sua privacidade. Na Mozilla, acreditamos que existe uma forma melhor. Sabemos que os anúncios podem parecer invasivos quando dependem da recolha e partilha de dados pessoais. A nossa abordagem é diferente: construir um sistema de anúncios que evita essas práticas e protege a sua privacidade desde o início. O nosso objetivo é tornar os anúncios relevantes sem serem disruptivos, ao mesmo tempo que geramos receitas sustentáveis para manter o Firefox independente e alinhado com a nossa missão.

Neste artigo, explicaremos como os anúncios funcionam atualmente no Firefox, incluindo os sinais limitados que utilizamos e porquê. Embora os detalhes técnicos possam evoluir à medida que aprendemos e melhoramos, o nosso compromisso com os Princípios de Privacidade da Mozilla permanece inalterado.

Controlo sobre a sua experiência de anúncios

Pode desativar os anúncios no Firefox a qualquer momento. Veja como. Também tem ferramentas para dispensar anúncios individuais ou denunciá-los. Temos cuidado com os anunciantes com quem trabalhamos e só permitimos anúncios que estejam alinhados com a marca e os valores da Mozilla. Proteger a sua experiência significa não só dar-lhe o controlo, mas também garantir que os anúncios que vê cumprem os padrões que estabelecemos.

Código aberto

O Firefox é de código aberto. Os componentes técnicos principais que determinam como os anúncios no Firefox funcionam são transparentes e acessíveis à comunidade para compreensão.

Alguns aspetos da publicidade, como os termos comerciais, não são publicados porque não descrevem o funcionamento técnico do sistema. O que importa para os utilizadores e programadores é transparente: o código do Firefox, os fluxos de dados e as proteções de privacidade incorporadas no design.

Proteger a privacidade

A privacidade é a base da nossa abordagem aos anúncios, tal como o é no Firefox como um todo. Os anunciantes não precisam de saber quem é para o alcançar, e não lhes permitimos que o sigam pela Internet. Isto significa que não há cookies de terceiros nem identificadores de dispositivo. Isto corresponde à nossa abordagem à recolha de dados em todo o Firefox — recolher apenas o necessário, nunca mais. Não vendemos nem partilhamos os seus dados pessoais.

Ainda existem formas de os anunciantes tentarem identificar as pessoas. As mais comuns são o seguimento direto entre sites, o fingerprinting e os anúncios maliciosos baseados nos detalhes do dispositivo. Nas secções seguintes, vamos analisar cada um destes e as medidas que estamos a tomar para os impedir.

1) Impedir o seguimento entre sites

A nossa abordagem: Eliminar os identificadores entre sites e tratar os sinais de rede como sensíveis. A entrega de anúncios deve funcionar sem exigir um ID de utilizador e sem expor o seu endereço IP real.

Como isto difere da prática habitual

• A maioria dos editores: envia o IP real do utilizador nos pedidos de anúncios sem qualquer modificação.
• Editores focados na privacidade: podem truncar o IP (por exemplo, remover o último octeto → 192.0.2.xxx) antes de o enviar.
• A abordagem da Mozilla (além de ambas): substituímos o IP real por um IP sintético/proxy de um conjunto controlado pela Mozilla, mapeado apenas para a região geral. É partilhado por muitos utilizadores e não é estável por utilizador.

Os anúncios da Mozilla não utilizam:

• Cookies de terceiros para a entrega de anúncios
• Identificadores de dispositivo (por exemplo, IDs de publicidade móvel)
• IDs de utilizador únicos

IP e localização: como protegemos o seu IP (e porque é que qualquer IP é utilizado)

É necessário algum sinal de rede para tarefas básicas como verificações de fraude e exibição de anúncios apropriados para a região. Como um endereço IP pode funcionar como um identificador "soft", tratamo-lo como sensível.

• Os pedidos passam pela Mozilla: Os pedidos de anúncios têm origem na infraestrutura controlada pela Mozilla, não no seu dispositivo. Os sistemas de compra de anúncios (por exemplo, exchanges/SSPs) não recebem o seu IP real no pedido de anúncio.
• Mapeamento regional aproximado: Substituímos por um IP operado pela Mozilla da sua área geral (cidade/metrópole) para que os anúncios possam ser relevantes para a região e as verificações de integridade possam ser executadas sem expor a sua residência.
• Partilhado, não pessoal: Os IPs substituídos são utilizados por muitas pessoas e não são estáveis por utilizador, pelo que não podem servir como identificadores duradouros.
• Sem localização precisa: Não enviamos coordenadas de GPS ou de nível de rua; qualquer localização fornecida é aproximada e derivada do endereço IP protegido.

Isto remove completamente o IP real do "bidstream", preservando apenas a utilidade mínima (por exemplo, relevância ao nível da cidade, verificações básicas de fraude). É por isso que a nossa abordagem é inovadora, mesmo entre os editores mais focados na privacidade.

Resultado: Os anunciantes não o podem seguir entre sites através de cookies, IDs de dispositivo ou um ID de utilizador. Os compradores não veem o seu IP real, e quaisquer sinais utilizados são aproximados, partilhados e não estáveis — reduzindo a probabilidade de os dados sobre si se acumularem no ecossistema ou poderem ser cruzados com outros conjuntos de dados.

2) Proteções anti-fingerprinting

O que é: Mesmo sem cookies ou IDs de dispositivo, alguns sistemas de anúncios tentam identificar um navegador combinando muitos pequenos detalhes (como características do dispositivo ou do navegador). Isto é chamado de fingerprinting.

A nossa abordagem: Fazer com que o seu navegador se misture na multidão e excluir detalhes de alta entropia dos fluxos de anúncios.

O que fazemos:

• User agent padronizado: Normalizamos as strings de "user-agent" para evitar que configurações raras se destaquem.
• Minimização de sinais: Os pedidos de anúncios incluem apenas campos necessários e de baixo risco (por exemplo, uma única categoria de contexto, região aproximada). Evitamos enviar detalhes de dispositivo de alta entropia.
• Sem JavaScript do lado do anúncio no Novo Separador do Firefox: Os anúncios não podem executar os seus próprios scripts aqui, o que bloqueia técnicas comuns de fingerprinting ativo.
• Sem dados demográficos para a entrega de anúncios: Não recolhemos nem partilhamos idade, género ou características semelhantes para anúncios.
• Higiene de cabeçalhos: Normalizamos os cabeçalhos sensíveis sempre que possível para reduzir a singularidade.

Resultado: Os anunciantes não o conseguem identificar de forma fiável com base nas peculiaridades do dispositivo/navegador, e os anúncios podem funcionar sem vigilância.

3) Proteção contra anúncios maliciosos

O que é: “Malvertising” (publicidade maliciosa) ocorre quando um anúncio tenta executar código prejudicial, forçar redirecionamentos, recolher dados ou imitar uma IU fidedigna. O vetor comum é o JavaScript de terceiros enviado com os criativos dos anúncios.

A nossa abordagem: Os anúncios nunca executam o seu próprio código de terceiros. Os anúncios são entregues apenas como dados, através de um serviço de encaminhamento de anúncios operado pela Mozilla, e renderizados pelo próprio Firefox, pelo que nenhum JavaScript de anúncio externo é executado.

O que fazemos

• Entrega apenas de dados: Os anúncios chegam ao Novo Separador do Firefox (HNT) como JSON, não como pacotes HTML/JS de terceiros.
• Mozilla no meio: O cliente Firefox nunca se liga diretamente a redes de anúncios externas. Todos os pedidos vão para um serviço de encaminhamento de anúncios controlado pela Mozilla que impõe políticas e remove caminhos de código ativo.
• Limite estrito de JS: Apenas o código do próprio Firefox é executado. Nenhum JavaScript fornecido pelo criativo é executado no Novo Separador, o que remove um canal principal para malware e scripts de seguimento.
• Renderização sob o controlo do Firefox: O Firefox transforma os dados do anúncio em elementos visuais utilizando o seu próprio HTML/CSS/JS, mantendo um ambiente de execução único e auditável.
• Salvaguardas de criativos e procura: Aceitamos anúncios apenas de fontes fidedignas e aplicamos padrões de marca/categoria alinhados com os valores da Mozilla.
• Controlos do utilizador: Pode dispensar ou denunciar um anúncio; agimos rapidamente para rever e desativar criativos ou compradores inadequados em todo o inventário.

Como isto difere da prática habitual A maior parte da indústria de anúncios envia criativos como HTML/CSS/JavaScript que são executados no seu navegador (muitas vezes através de tags/iframes). Em contraste, o Firefox recebe anúncios apenas de dados através de um proxy operado pela Mozilla, e apenas o JS do próprio Firefox é executado. Isto reduz significativamente o risco de malware e elimina uma via principal para o seguimento por terceiros.

Resultado: Os anúncios no Novo Separador do Firefox privilegiam a segurança e a integridade em detrimento da interatividade de terceiros. Continuamos a avaliar se a interatividade limitada e que preserva a privacidade pode ser suportada no futuro, sem enfraquecer estas proteções.

Como utilizamos os dados nos anúncios da Mozilla

Utilizamos sinais mínimos e protegidos em termos de privacidade — apenas o suficiente para fazer os anúncios funcionar e mantê-los relevantes no momento. Anúncios irrelevantes ou descontextualizados não servem a ninguém. Não vendemos nem partilhamos os seus dados pessoais.

O que enviamos (mantido ao mínimo para relevância e integridade)

• Contexto (uma categoria): Uma única categoria IAB para o posicionamento (por exemplo, “desportos” ou “ciclismo”). Não enviamos URLs de páginas ou conteúdo completo, e não enviamos várias categorias numa única chamada.
• Região aproximada: Localização ao nível da cidade/metrópole, para que as ofertas façam sentido geográfico básico — sem GPS ou precisão ao nível da rua.
• Informações básicas de entrega: Detalhes não identificadores necessários para renderizar um anúncio (por exemplo, tamanho do espaço) mais sinais de rede protegidos em termos de privacidade (ver IP e localização acima).
  • User-agent (normalizado): A string de "user-agent" normalmente revela detalhes como a versão do seu navegador, sistema operativo e tipo de dispositivo. A maioria dos sistemas de anúncios passa esta informação sem alterações, o que facilita o seu "fingerprinting" (ver Proteções anti-fingerprinting acima). No Firefox, redigimos as strings de "user-agent" para reduzir a singularidade:
    • Versão do Firefox: Utilizamos a versão mais recente do Firefox ou, se estiver a utilizar uma compilação mais antiga, a mais recente menos um.
    • Sistema operativo: Utilizamos apenas tipos gerais de SO e plataforma para as principais plataformas, sem expor informações detalhadas do sistema.
    • Isto impede que os anunciantes detetem configurações raras que o possam destacar.

Dados excluídos dos anúncios

• Sem histórico de navegação: O histórico, os marcadores, os separadores abertos ou as pesquisas do Firefox nunca são incluídos nos pedidos de anúncios.
• Sem identificadores entre sites: Cookies de terceiros, IDs de dispositivo e IDs de utilizador únicos não são utilizados.
• Sem dados de perfil pessoal: Dados demográficos, como idade, género ou características semelhantes, não são recolhidos nem partilhados para a entrega de anúncios.
• Sem gráficos de identidade: Os anúncios do Firefox não utilizam e-mails com hash nem participam em sistemas de identidade entre sites.
• Sem localização precisa / endereço IP real: As coordenadas de GPS e o seu endereço IP real nunca são utilizados nos pedidos de anúncios.

Porque é que isto ajuda a sua experiência

Um conjunto pequeno e previsível de sinais permite-nos mostrar anúncios que são suficientemente relevantes para merecer a sua atenção — sem recolher dados em excesso. Esse equilíbrio suporta uma melhor experiência e mantém a utilização de dados limitada e sob o controlo da Mozilla.

O nosso compromisso

O ecossistema de anúncios há muito que assume que mais dados é melhor. Nós discordamos. Não vendemos nem partilhamos os seus dados pessoais, e está sempre no controlo — desative os anúncios, dispense-os ou denuncie-os. Utilizamos apenas sinais mínimos e protegidos em termos de privacidade para que os anúncios sejam suficientemente relevantes para merecer a sua atenção, não os seus dados. Esta é uma mudança difícil contra as práticas estabelecidas da indústria, mas a independência faz parte de quem somos. Estamos a fazer isto para sustentar o Firefox e manter viva a missão da Mozilla — defender uma Internet saudável e aberta. Esta abordagem financia o Firefox e apoia uma Internet aberta e acessível sem comprometer a nossa promessa para consigo.