Brave blocca i tracker di default. Anche Firefox in modalità Strict blocca i tracker di default. Safari integra Intelligent Tracking Prevention dal 2017. Tor Browser blocca praticamente tutto. È impossibile che siano davvero tutti allo stesso livello di privacy, e basta caricare la stessa pagina infarcita di tracker in ciascuno tenendo d'occhio il pannello di rete per vedere che le differenze non hanno nulla di sottile.
Questo articolo mette i quattro fianco a fianco. Stesso articolo, stessa sera e, dove possibile, stessa macchina. Abbiamo contato le richieste di terze parti, i cookie, la superficie di fingerprint e ciò che il sito di destinazione impara davvero sul visitatore. Il dato di sintesi: solo uno dei quattro nasconde il tuo IP, solo uno randomizza il tuo fingerprint, e il divario tra Firefox Strict e Safari ITP è più ampio di quanto nessuno dei due produttori sia disposto ad ammettere. Aggiornato a maggio 2026 con Brave 1.69, Firefox 134, Safari 18 e Tor Browser 14.
Prima di confrontare quello che fanno, una rapida presentazione dei quattro. Brave Shields è un blocker integrato di pubblicità e tracker con randomizzazione del fingerprint, attivo di default. Firefox Total Cookie Protection in modalità Strict è un modello di partizionamento e blocco che isola i cookie di ogni sito e blocca i tracker noti. Safari Intelligent Tracking Prevention è un insieme di tetti alla durata di cookie e storage, pilotati dal machine learning, che fanno scadere in sordina lo stato cross-site. Tor Browser è un browser irrobustito basato su Firefox, che instrada il traffico attraverso la rete Tor con una normalizzazione aggressiva del fingerprint.
Cosa fa davvero ciascuno sotto il cofano
Brave Shields raccoglie blocco a liste, farbling del fingerprint e upgrade HTTPS in un unico interruttore attivo di default. Le liste sono derivati interni di Brave a partire da EasyList, EasyPrivacy e dai filtri di uBlock Origin, aggiornati più volte al giorno. Cookie e storage vengono partizionati per sito di primo livello, lo stesso meccanismo che Firefox chiama Total Cookie Protection. Il pezzo interessante è il farbling: Brave inietta una piccola perturbazione per sessione e per eTLD+1 nelle letture di Canvas, WebGL e AudioContext, così due visite in due sessioni diverse producono hash di fingerprint diversi. L'IP, invece, resta intatto.
Firefox in modalità Strict mette insieme Enhanced Tracking Protection (le liste Disconnect), Total Cookie Protection (barattoli di cookie separati per sito, così un cookie Facebook impostato sul sito A non è leggibile sul sito B) e il blocco di cryptominer e fingerprinter noti. Bloccare un fingerprinter, qui, vuol dire rifiutarsi di caricare script da una lista curata di domini di fingerprinting: se uno script di fingerprinter riesce comunque ad avviarsi, Firefox non randomizza nulla di ciò che il tuo browser espone. È il dettaglio da tenere a mente.
Safari Intelligent Tracking Prevention limita i cookie cross-site a sette giorni e lo storage scritto da script (pensa al localStorage messo da terze parti) a ventiquattro ore di mancata interazione. ITP toglie inoltre i parametri di tracking noti dalle decorazioni dei link in fase di navigazione, partiziona cache e stato HSTS e disabilita del tutto i cookie di terze parti di default. Sopra a ITP, gli abbonati iCloud+ hanno Private Relay, che nasconde l'IP dell'utente ai siti tramite il relay a due salti di Apple. Fuori dai dispositivi Apple, niente di tutto questo esiste.
Tor Browser è l'unico dei quattro che non dà per scontato che l'utente navighi attraverso il proprio ISP. Ogni connessione passa per tre relay Tor, ogni sito di primo livello riceve un suo circuito dedicato, e il browser stesso è irrobustito: canvas randomizzato per sessione, WebGL pesantemente limitato, dimensioni dello schermo arrotondate a fasce letterbox, font uniformati, e le estensioni diverse da quelle incluse sono bloccate. L'obiettivo di progetto è che ogni utente di Tor Browser risulti indistinguibile dagli altri.
Come abbiamo testato
Il sito bersaglio era una testata di notizie statunitense di taglia media, di quelle che leggono davvero tutti: una home con le solite due reti pubblicitarie, un embed video, un widget di commenti, un banner CMP e uno strato di analytics di terze parti. L'abbiamo caricata a freddo in ciascun browser, con le impostazioni di privacy di default, senza estensioni oltre a quelle incluse, sulla stessa connessione residenziale.
Al primo caricamento abbiamo misurato otto cose. Richieste di terze parti tentate rispetto a quelle effettivamente bloccate. Cookie di terze parti impostati a pagina ormai stabile. Se l'hash di readback del Canvas restava stabile su due ricaricamenti. Se la stringa WebGL UNMASKED_RENDERER_WEBGL corrispondeva alla GPU reale. Se AudioContext restituiva un fingerprint stabile. Se la connessione veniva forzata a HTTPS. Se il sito di destinazione vedeva il nostro IP residenziale reale. E se i cookie che passavano sopravvivevano a un riavvio pulito del browser. Per il bucket di unicità del fingerprint abbiamo fatto una passata contro AmIUnique, consapevoli che un numero one-shot indica una tendenza, non un verdetto definitivo.
Brave 1.69 su macOS 14, Firefox 134 sulla stessa macchina, Safari 18 sulla stessa macchina e Tor Browser 14 sulla stessa macchina. Stessa sera. Stesso stato iniziale (reset completo del profilo prima di ogni esecuzione). Tutti e quattro sono i canali stable correnti al secondo trimestre del 2026.
Il confronto fianco a fianco
Stessa pagina, stessa macchina, stessa sera. Le prime tre righe sono conteggi assoluti, tutto il resto è ciò che ogni browser espone o nasconde di default.
| Metrica | Brave Shields | Firefox Strict | Safari ITP | Tor Browser |
|---|---|---|---|---|
| Richieste di terze parti bloccate (su 84 tentate) | 71 su 84 | 48 su 84 | 31 su 84 | 84 su 84 |
| Cookie di terze parti impostati dopo il caricamento | 0 | 0 (partizionati) | 0 | 0 |
| Cookie di prima parte impostati | 11 | 14 | 13 | 9 |
| Fingerprint Canvas randomizzato per sessione | Sì (farblato) | No | No | Sì (randomizzato) |
| Stringa renderer WebGL mascherata | Parziale (farblata) | No | Parziale | Sì (generica) |
| AudioContext difeso | Sì (farblato) | No | No | Sì |
| Upgrade a HTTPS di default | Sì (aggressivo) | Sì (HTTPS-Only disattivato di default) | Sì | Sì |
| IP reale visibile al sito di destinazione | Sì | Sì | Sì (No con Private Relay) | No |
| Persistenza cookie (cross-site) | Partizionati | Partizionati (TCP) | Limitata a 7 giorni | Per circuito, scartati alla chiusura |
| Estensioni supportate | Chrome Web Store | AMO | Limitate via App Store | Solo quelle incluse |
| Idoneità all'uso quotidiano (1-5) | 5 | 5 | 4 (solo Apple) | 2 |
Un paio di righe meritano una seconda lettura. Il conteggio dei cookie di terze parti è zero ovunque, ed è esattamente ciò che ogni produttore vuole farti notare nel suo marketing. La domanda più profonda è cosa ottengano gli stessi tracker senza cookie, e lì i numeri di richieste bloccate raccontano un'altra storia. Brave butta via l'84 % delle richieste di terze parti; Firefox Strict ne butta il 57 % e lascia quindi circa metà della superficie di tracking ancora in carico, partizionata ma ben viva. Safari ITP ne scarta solo il 37 %, perché ITP combatte i cookie, non le richieste. Tor Browser sta al 100 %, ma soprattutto perché la pagina, in buona parte, non si compone proprio: molti embed e script vanno in timeout dietro al relay.
Cosa ci ha sorpreso
Brave farbla il canvas, ma il farbling si rileva
La perturbazione del Canvas applicata da Brave per sessione e per sito è valida nel senso che due sessioni non producono mai lo stesso hash. Lo è meno nel senso che un fingerprinter può rilevare la perturbazione stessa. I pixel che restituisce un pattern di test standard sotto Brave non coincidono con quelli di nessun browser non modificato, quindi «questo utente sta usando Brave con gli shields attivi» è già di per sé un bit di fingerprint. Brave ne è consapevole e sostiene che ciò che conta è poter collegare le sessioni nel tempo, e che quel bit lì si può tranquillamente lasciar trapelare. Non hanno torto, ma vale la pena saperlo.
Firefox Strict partiziona, ma non randomizza
Total Cookie Protection è davvero un'ingegneria notevole e manda in frantumi il classico modello di tracking via cookie di terze parti. Ma appena uno script di fingerprinter che non è nella lista di Disconnect riesce a caricarsi (e diversi ci riescono), Firefox gli serve lo stesso hash Canvas, la stessa stringa renderer WebGL e lo stesso segnale AudioContext di un Firefox qualsiasi. La protezione è strutturale, non percettiva. In Firefox Strict ti possono fare lo stesso il fingerprint: è semplicemente che il tracking non si può più ricucire tramite cookie.
Safari ITP è ottimo contro la persistenza, debole contro il fingerprinting
I cookie scadono dopo sette giorni. Lo storage scritto da script scade dopo ventiquattro ore di inattività. I parametri di decorazione dei link vengono rimossi. Tutto questo è davvero ostile al tracking a lungo termine basato su identificatori persistenti. Ma Safari non fa quasi nulla per randomizzare ciò che un fingerprinter in tempo reale legge dal tuo dispositivo. La stringa del renderer è reale, l'hash Canvas resta stabile all'interno di una sessione, AudioContext è intatto. ITP vince la guerra della memoria e perde quella dell'istantanea.
Tor protegge l'identità, ma rompe il web moderno
Tor Browser è l'unico dei quattro a nascondere il tuo IP e l'unico a uniformare la superficie di fingerprint tra gli utenti. È anche quello in cui la pagina di news testata si è caricata senza il widget dei commenti, con l'embed video che girava all'infinito e il banner CMP che si rifiutava di chiudersi. I siti molto basati su WebGL e i contenuti geobloccati cadono in modo netto. È così per scelta progettuale. Tor non vuole essere un browser per tutti i giorni. Usarlo in quel modo produce un setup fragile e un utente frustrato.
Quale dovresti davvero usare?
Nessuno di questi browser è «la risposta giusta» in astratto. Sono risposte a domande diverse. Il modo più pulito di scegliere è guardare quale frase ti somiglia di più.
«Voglio il minimo sforzo, una superficie di fingerprint bassa, e che i siti più diffusi continuino a funzionare.» Prendi Brave. Le impostazioni di default sono aggressive, il farbling per sessione offre una protezione vera contro la re-identificazione, e dato che gira su Chromium i siti da cui dipendi si caricano normalmente. È il pavimento di privacy più alto fra i browser del tipo «apri e naviga».
«Mi fido della governance di Mozilla e preferisco il partizionamento alla randomizzazione.» Prendi Firefox in modalità Strict. È il più piacevole dei quattro da personalizzare, è quello che porta avanti il discorso del motore non-Chromium con più solidità, e il modello di partizionamento è onesto rispetto a quello che fa. Affiancaci Privacy Badger o uBlock Origin se vuoi che il conteggio delle richieste bloccate arrivi ai livelli di Brave.
«Sto su dispositivi Apple e voglio impostazioni di default sensate.» Prendi Safari con iCloud+ Private Relay attivo. ITP lavora sul serio sulla persistenza dei cookie e Private Relay copre il buco dell'IP che ITP da solo non chiude. La limitazione onesta è che su Windows o Linux questo stack per te non esiste.
«Devo essere davvero anonimo, e metto in conto qualche sito rotto.» Prendi Tor Browser. Nient'altro nasconde il tuo IP e uniforma il tuo fingerprint nello stesso momento. Leggi la guida allo stack di anonimato prima di appoggiartici per qualcosa che conta davvero: Tor richiede una disciplina che gli altri tre non chiedono.
«Mi serve isolamento, oltre alla privacy.» Nessuno dei quattro isola il browser dal tuo sistema operativo. Uno script malevolo che sfrutta un bug Chromium o Gecko gira sulla tua macchina con qualsiasi dei quattro. Un cloud browser aggira completamente questa classe di problemi facendo eseguire il rendering altrove, con la postura di privacy che scegli davanti. È la forma della scommessa che fa Browser.lol.
Dove tutti e quattro restano corti
I quattro modi discutono di cose diverse, ma condividono quattro punti ciechi che nessun modo privacy risolve da solo. Il primo è il login. Nel momento in cui ti autentichi da qualche parte, il modo privacy diventa irrilevante per quel sito: hai appena detto al sito di destinazione chi sei. Le modalità di navigazione proteggono dal tracking ambientale, non dagli identificatori che consegni volontariamente.
Il secondo è la rete. Tre dei quattro continuano a usare il tuo IP reale. Brave, Firefox e Safari di default mandano i pacchetti direttamente dalla tua connessione residenziale o d'ufficio. Solo Tor (e Safari tramite l'add-on Private Relay) fa qualcosa al riguardo. Una VPN aggiunge una copertura parziale, ma molti provider VPN sanno di te più di quanto sappia il tuo ISP.
Il terzo è il dispositivo. Tutti e quattro girano sul tuo hardware reale, quindi un vero payload malevolo, un'estensione ostile o un exploit a livello kernel operano sulla stessa macchina su cui leggi anche la posta. Il browser fingerprinting è inoltre profondamente legato al dispositivo: come spiega l'approfondimento sul fingerprinting, cose come le firme di rendering della GPU e le stranezze dello stack audio sopravvivono anche alle difese più aggressive lato browser.
Il quarto è il teatro dell'incognito. Tre dei quattro offrono una finestra privata che la maggior parte degli utenti scambia per la modalità di privacy più forte a disposizione. Non lo è. Le finestre private non cambiano ciò che vedono i tracker, dimenticano solo ciò che hai fatto in locale. Mullvad Browser e DuckDuckGo Browser sono tentativi interessanti di colmare questo buco con default più severi, ma gli stessi quattro punti ciechi valgono anche per loro.
Domande frequenti
Brave è davvero meglio di Firefox per la privacy?
Con le impostazioni di default, contro pagine infarcite di tracker, contro il fingerprinting: sì. Brave blocca più richieste, randomizza più segnali e arriva con un comportamento in stile HTTPS Everywhere già attivo. In privacy misurata Firefox Strict colma il divario se aggiungi uBlock Origin e attivi resistFingerprinting, ma a quel punto non è più «Firefox di default». La risposta onesta dipende da cosa intendi per «Firefox».
Fuori dai dispositivi Apple, Safari va bene quanto Brave?
Fuori dai dispositivi Apple, Safari non esiste. Niente Safari per Windows, niente Safari per Android. Su macOS e iOS è una scelta competitiva; altrove la domanda non si pone proprio. Se volessi l'approccio di Safari (limiti aggressivi sui cookie in stile ITP) su un dispositivo non Apple, l'analogo più vicino è Firefox Strict con un'estensione, oppure Brave con gli shields di default.
Perché Tor Browser rompe così tanti siti?
Per due motivi. Primo, gli IP degli exit node Tor sono in liste di blocco commerciali usate da Cloudflare e da molte CDN, quindi anche il traffico legittimo viene messo davanti a un captcha o rifiutato. Secondo, Tor Browser disabilita o arrotonda API che i siti moderni danno per scontate: WebGL, dimensioni di schermo precise, storage persistente e una lunga lista di funzionalità browser recenti. I siti costruiti su quelle API degradano con grazia in teoria e senza grazia in pratica.
Conviene usare una VPN con Brave?
Per la maggior parte dei threat model sì, se vuoi nascondere il tuo IP ai siti di destinazione. Brave Shields non tocca il percorso di rete, quindi il sito continua a vedere il tuo vero IP residenziale o d'ufficio. Affiancare a Brave una VPN attenta alla privacy (Mullvad e IVPN sono punti di partenza ragionevoli, scelti perché accettano contanti e non richiedono un'email di account) ti dà fingerprint randomizzati e IP nascosto senza rinunciare ai siti renderizzati in Chromium.
E Mullvad Browser o DuckDuckGo Browser?
Mullvad Browser è la build Firefox irrobustita di Tor Browser, ripulita dalla rete Tor, pensata per essere usata tramite Mullvad VPN. Eredita le difese di fingerprinting di Tor senza il pedaggio di connettività di Tor, al prezzo di affidarsi a un solo provider VPN per il livello IP. DuckDuckGo Browser impacchetta blocco tracker e pulizia della decorazione dei link in un wrapper Chromium/WebKit più amichevole; il suo livello di protezione si colloca tra Safari ITP e Brave Shields, a seconda della piattaforma. Entrambi meritano un'occhiata se nessuno dei quattro grandi calza al tuo modello.
AmIUnique mi dice davvero quanto è unico il mio fingerprint?
Ti dice quanto è unico il tuo fingerprint tra i visitatori di AmIUnique, ovvero una popolazione autoselezionata di utenti curiosi di privacy. Lo score è un'indicazione di tendenza. Usalo come controllo di buon senso, per verificare che le tue difese abbiano spostato qualcosa, non come affermazione assoluta sul web nel suo insieme. Lo strumento EFF Cover Your Tracks della Electronic Frontier Foundation è una seconda opinione utile.
Scegli il livello che si adatta alla tua minaccia, poi aggiungi isolamento
Lungo tutto il confronto il quadro resta coerente. Brave ti dà il pavimento di privacy di default più solido per la navigazione di tutti i giorni. Firefox Strict ti dà il modello di partizionamento più pulito e le difese più personalizzabili. Safari ITP ti dà la migliore persistenza su hardware Apple. Tor Browser ti dà un anonimato vero, al prezzo di un web utilizzabile. Nessuno isola il tuo dispositivo dalla pagina, e nessuno sopravvive al momento in cui ti autentichi.
- Di default Brave, se vuoi una privacy solida senza dover pensare a nulla.
- Di default Firefox Strict, se dai valore al partizionamento, alla personalizzazione e a un motore non-Chromium.
- Di default Safari con Private Relay, se vivi nell'ecosistema Apple.
- Tira fuori Tor Browser quando l'obiettivo vero è l'anonimato, non solo la comodità.
- Aggiungi un cloud browser quando ti serve che la pagina giri da qualche parte che non sia il tuo dispositivo.
I modi privacy riducono ciò che la pagina impara. L'isolamento riduce ciò che la pagina può fare. Risolvono problemi vicini, e i setup più solidi accatastano l'uno sopra l'altro. Aggiornato per il 2026.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
