O Brave bloqueia trackers por defeito. O Firefox em modo Strict também bloqueia trackers por defeito. O Safari traz Intelligent Tracking Prevention desde 2017. O Tor Browser bloqueia praticamente tudo. É impossível que estejam todos ao mesmo nível de privacidade, e basta abrir a mesma página recheada de trackers em cada um e dar uma olhadela ao painel de rede para perceber que as diferenças não têm nada de subtil.
Este artigo põe os quatro lado a lado. Mesmo artigo, mesma noite e, sempre que possível, a mesma máquina. Contámos pedidos a terceiros, cookies, superfície de fingerprint e o que o site de destino aprende mesmo sobre quem o visita. A conclusão principal: só um dos quatro esconde o teu IP, só um aleatoriza o teu fingerprint, e a distância entre o Firefox Strict e o Safari ITP é maior do que qualquer um dos fabricantes estaria disposto a admitir. Atualizado em maio de 2026 com Brave 1.69, Firefox 134, Safari 18 e Tor Browser 14.
Antes de comparar o que fazem, fica aqui uma apresentação rápida dos quatro. Brave Shields é um bloqueador integrado de anúncios e trackers com aleatorização do fingerprint, ligado por defeito. Firefox Total Cookie Protection em modo Strict é um modelo de particionamento e bloqueio que isola as cookies de cada site e bloqueia trackers conhecidos. Safari Intelligent Tracking Prevention é um conjunto de tetos de vida útil para cookies e storage, orientados por machine learning, que deixam o estado cross-site expirar em silêncio. Tor Browser é um navegador endurecido baseado no Firefox, que encaminha o tráfego pela rede Tor com uma normalização agressiva do fingerprint.
O que cada um faz mesmo por baixo do capot
Brave Shields reúne bloqueio por listas, farbling do fingerprint e passagem a HTTPS num único interruptor ligado por defeito. As listas são derivados próprios da Brave a partir da EasyList, da EasyPrivacy e dos filtros do uBlock Origin, com várias atualizações por dia. As cookies e o storage ficam particionados por site de nível superior, o mesmo mecanismo a que o Firefox chama Total Cookie Protection. A parte interessante é o farbling: o Brave injeta uma pequena perturbação por sessão e por eTLD+1 nas leituras de Canvas, WebGL e AudioContext, por isso duas visitas em duas sessões diferentes produzem hashes de fingerprint diferentes. O IP, esse, fica intacto.
Firefox em modo Strict reúne Enhanced Tracking Protection (as listas Disconnect), Total Cookie Protection (potes de cookies separados por site, para que uma cookie do Facebook posta no site A não possa ser lida no site B) e o bloqueio de cryptominers e fingerprinters conhecidos. Bloquear um fingerprinter, aqui, quer dizer recusar-se a carregar scripts a partir de uma lista curada de domínios de fingerprinting. Se ainda assim um script de fingerprinter conseguir correr, o Firefox não aleatoriza nada do que o teu navegador expõe. É o pormenor que vale a pena guardar.
Safari Intelligent Tracking Prevention limita as cookies cross-site a sete dias e o storage escrito por script (por exemplo, localStorage posto por terceiros) a vinte e quatro horas sem interação. O ITP também retira parâmetros de tracking conhecidos das decorações de links na navegação, particiona a cache e o estado HSTS, e desliga por completo as cookies de terceiros por defeito. Por cima do ITP, os subscritores do iCloud+ têm Private Relay, que esconde dos sites o IP do utilizador através do relé de dois saltos da Apple. Fora dos dispositivos Apple, nada disto existe.
Tor Browser é o único dos quatro que não parte do princípio de que estás a navegar através do teu próprio ISP. Cada ligação passa por três relés Tor, cada site de nível superior recebe o seu circuito próprio, e o navegador em si está endurecido: canvas aleatorizado por sessão, WebGL fortemente limitado, dimensões de ecrã arredondadas a patamares letterbox, fontes padronizadas, e as extensões que não vêm incluídas estão bloqueadas. A intenção de design é que qualquer utilizador do Tor Browser fique indistinguível dos restantes.
Como testámos
O alvo foi um site de notícias norte-americano de média dimensão, daqueles que toda a gente lê mesmo: uma página inicial com as habituais duas redes de anúncios, um embed de vídeo, um widget de comentários, um banner CMP e uma pilha de analytics de terceiros. Carregámo-lo a frio em cada navegador, com as definições de privacidade por defeito, sem extensões além das que vêm incluídas, sobre a mesma ligação residencial.
Em cada primeiro carregamento medimos oito coisas. Pedidos a terceiros tentados versus efetivamente bloqueados. Cookies de terceiros colocadas depois de a página estabilizar. Se o hash do readback do Canvas se mantinha estável entre dois recarregamentos. Se a string WebGL UNMASKED_RENDERER_WEBGL correspondia à GPU real. Se o AudioContext devolvia um fingerprint estável. Se a ligação era forçada para HTTPS. Se o site de destino via o nosso IP residencial real. E se as cookies que passavam sobreviviam a um reinício limpo do navegador. Para o bucket de unicidade do fingerprint fizemos uma passagem pelo AmIUnique, conscientes de que um número obtido de uma só vez é indicativo, não definitivo.
Brave 1.69 em macOS 14, Firefox 134 na mesma máquina, Safari 18 na mesma máquina e Tor Browser 14 na mesma máquina. Mesma noite. Mesmo estado inicial (reset completo do perfil antes de cada passagem). Os quatro são os canais stable atuais à data do segundo trimestre de 2026.
A comparação lado a lado
Mesma página, mesma máquina, mesma noite. As três primeiras linhas são contagens absolutas; tudo o que vem a seguir é o que cada navegador expõe ou esconde por defeito.
| Métrica | Brave Shields | Firefox Strict | Safari ITP | Tor Browser |
|---|---|---|---|---|
| Pedidos a terceiros bloqueados (de 84 tentados) | 71 de 84 | 48 de 84 | 31 de 84 | 84 de 84 |
| Cookies de terceiros colocadas após carregamento | 0 | 0 (particionadas) | 0 | 0 |
| Cookies de primeira parte colocadas | 11 | 14 | 13 | 9 |
| Fingerprint Canvas aleatorizado por sessão | Sim (farbleado) | Não | Não | Sim (aleatorizado) |
| String renderer WebGL mascarada | Parcial (farbleada) | Não | Parcial | Sim (genérica) |
| AudioContext defendido | Sim (farbleado) | Não | Não | Sim |
| Passagem a HTTPS por defeito | Sim (agressiva) | Sim (HTTPS-Only desligado por defeito) | Sim | Sim |
| IP real visível para o site de destino | Sim | Sim | Sim (Não com Private Relay) | Não |
| Persistência de cookies (cross-site) | Particionadas | Particionadas (TCP) | Limitada a 7 dias | Por circuito, descartadas ao fechar |
| Extensões suportadas | Chrome Web Store | AMO | Limitadas via App Store | Só as incluídas |
| Aptidão para uso diário (1-5) | 5 | 5 | 4 (só Apple) | 2 |
Há linhas que merecem uma segunda leitura. A contagem de cookies de terceiros está a zero em todos, e é justamente isso que cada fabricante quer que vejas no marketing. A pergunta de fundo é o que é que os mesmos trackers conseguem sem cookies, e aí as contagens de pedidos bloqueados contam outra história. O Brave deita fora 84 % dos pedidos a terceiros; o Firefox Strict deita fora 57 % e deixa cerca de metade da superfície de tracking ainda a carregar, particionada mas bem viva. O Safari ITP só deita fora 37 %, porque o ITP luta contra cookies, não contra pedidos. O Tor Browser está nos 100 %, mas sobretudo porque a página, em boa parte, nem chega a montar-se: muitos embeds e scripts caem por timeout do outro lado do relé.
O que nos surpreendeu
O Brave farbleia o canvas, mas o farbling deteta-se
A perturbação que o Brave aplica ao Canvas, por sessão e por site, é boa no sentido em que duas sessões nunca produzem o mesmo hash. É menos boa no sentido em que um fingerprinter consegue detetar a própria perturbação. Os píxeis que saem de um padrão de teste padrão em Brave não batem certo com os de um navegador sem modificações, por isso «este utilizador anda em Brave com os shields ligados» é, por si só, um bit de fingerprint. O Brave tem noção disso e defende que o que conta é poder ligar sessões ao longo do tempo, e que esse bit pode passar sem drama. Não estão errados, mas é bom saber.
O Firefox Strict particiona, mas não aleatoriza
O Total Cookie Protection é mesmo engenharia impressionante e parte o modelo clássico de tracking por cookies de terceiros. Mas, assim que um script de fingerprinter que não está na lista da Disconnect consegue carregar (e há vários que conseguem), o Firefox entrega-lhe o mesmo hash Canvas, a mesma string renderer WebGL e o mesmo sinal AudioContext que um Firefox vulgar. A proteção é estrutural, não percetiva. No Firefox Strict até podes ser fingerprinted; o que não dá é colar o tracking através de cookies.
O Safari ITP é excelente contra a persistência, fraco contra o fingerprinting
As cookies expiram ao fim de sete dias. O storage escrito por scripts expira ao fim de vinte e quatro horas de inatividade. Os parâmetros de decoração de links são cortados. Isto é mesmo hostil ao tracking de longo prazo assente em identificadores persistentes. Mas o Safari quase não faz nada para aleatorizar o que um fingerprinter em tempo real lê do teu dispositivo. A string renderer é real, o hash Canvas mantém-se estável dentro de uma sessão, e o AudioContext fica intacto. O ITP ganha a guerra da memória e perde a guerra do instantâneo.
O Tor protege a identidade, mas parte a web moderna
O Tor Browser é o único dos quatro que esconde o teu IP e o único que uniformiza a superfície de fingerprint entre utilizadores. É também aquele em que a página de notícias que testámos abriu sem o widget de comentários, com o embed de vídeo a girar sem parar e o banner CMP a recusar-se a fechar. Os sites pesados em WebGL e os conteúdos com bloqueio geográfico caem por terra. É deliberado. O Tor não tenta ser um navegador do dia a dia. Tratá-lo como tal acaba a dar um setup frágil e um utilizador frustrado.
Qual deves usar, de facto?
Nenhum destes navegadores é «a resposta certa» em abstrato. São respostas a perguntas diferentes. A forma mais limpa de escolher é olhar para a frase que soa mais a ti.
«Quero o mínimo de esforço, pouca superfície de fingerprint, e que os sites mais populares continuem a funcionar.» Vai de Brave. As predefinições são agressivas, o farbling por sessão oferece proteção a sério contra a reidentificação, e como assenta em Chromium os sites de que dependes abrem normalmente. É o piso de privacidade mais alto entre os navegadores de «abrir e navegar».
«Confio na governance da Mozilla e prefiro particionamento a aleatorização.» Vai de Firefox em modo Strict. É o mais agradável dos quatro para configurar, é o que tem a história mais sólida de motor não-Chromium, e o modelo de particionamento é honesto naquilo que faz. Junta-lhe Privacy Badger ou uBlock Origin se quiseres que a contagem de pedidos bloqueados chegue aos níveis de Brave.
«Estou em dispositivos Apple e quero predefinições sensatas.» Vai de Safari com iCloud+ Private Relay ativado. O ITP faz trabalho a sério na persistência de cookies e o Private Relay tapa o buraco do IP que o ITP por si só não fecha. A limitação honesta é que em Windows ou Linux esta stack não existe para ti.
«Preciso mesmo de ser anónimo e aceito sites partidos.» Vai de Tor Browser. Nada mais consegue esconder o teu IP e uniformizar o teu fingerprint ao mesmo tempo. Lê o guia da stack de anonimato antes de te apoiares nele para qualquer coisa que conte mesmo: o Tor exige uma disciplina que os outros três não pedem.
«Preciso de isolamento, para além de privacidade.» Nenhum dos quatro isola o navegador do teu sistema operativo. Um script malicioso que explore um bug do Chromium ou do Gecko corre na tua máquina em qualquer um dos quatro. Um cloud browser contorna por completo essa classe de problemas, executando o render noutro sítio, com a postura de privacidade que escolheres à frente. É essa a forma da aposta do Browser.lol.
Onde todos ficam aquém
Os quatro modos discutem coisas diferentes, mas partilham quatro pontos cegos que nenhum modo de privacidade resolve sozinho. O primeiro é o início de sessão. A partir do momento em que entras com a tua conta num site, o modo de privacidade fica irrelevante para esse site; acabaste de dizer ao destino quem és. Os modos de navegação protegem do tracking ambiente, não dos identificadores que entregas tu mesmo.
O segundo é a rede. Três dos quatro continuam a usar o teu IP real. O Brave, o Firefox e o Safari, por defeito, mandam os pacotes diretamente da tua ligação residencial ou do escritório. Só o Tor (e o Safari via o add-on Private Relay) fazem alguma coisa quanto a isso. Uma VPN acrescenta uma cobertura parcial, mas a maioria dos fornecedores de VPN sabe mais de ti do que o teu ISP.
O terceiro é o dispositivo. Os quatro correm sobre o teu hardware real, o que quer dizer que uma payload de malware, uma extensão hostil ou um exploit ao kernel operam na mesma máquina em que lês o email. O browser fingerprinting está, além disso, ligado de forma profunda ao dispositivo: como explica o artigo aprofundado sobre fingerprinting, coisas como as assinaturas de rendering da GPU e as manias da stack de áudio sobrevivem mesmo às defesas mais agressivas dentro do navegador.
O quarto é o teatro do anónimo. Três dos quatro oferecem uma janela privada que a maioria dos utilizadores assume ser o modo de privacidade mais forte que têm. Não é. As janelas privadas não mudam o que os trackers veem; só esquecem o que fizeste localmente. O Mullvad Browser e o DuckDuckGo Browser são tentativas interessantes de fechar este buraco com predefinições mais apertadas, mas os mesmos quatro pontos cegos também se lhes aplicam.
Perguntas frequentes
O Brave é mesmo melhor do que o Firefox para privacidade?
Com as definições por defeito, contra páginas recheadas de trackers e contra fingerprinting: sim. O Brave bloqueia mais pedidos, aleatoriza mais sinais e traz um comportamento estilo HTTPS Everywhere ligado por defeito. Em privacidade medida, o Firefox Strict apanha-o se lhe juntares uBlock Origin e ligares resistFingerprinting, mas aí já não é «Firefox por defeito». A resposta honesta depende do que entendes por «Firefox».
Fora de dispositivos Apple, o Safari funciona tão bem como o Brave?
Fora de dispositivos Apple, o Safari não existe. Não há Safari para Windows, não há Safari para Android. Em macOS e iOS é uma escolha competitiva; em qualquer outro sítio a pergunta nem sequer se coloca. Se quisesses a abordagem do Safari (tetos agressivos para cookies à semelhança do ITP) num dispositivo não-Apple, o análogo mais próximo é o Firefox Strict com uma extensão, ou o Brave com os shields por defeito.
Porque é que o Tor Browser parte tantos sites?
Por duas razões. Primeira, os IPs dos nós de saída do Tor estão em listas de bloqueio comerciais usadas pela Cloudflare e por muitos CDN, por isso o tráfego legítimo acaba a ser desafiado por captcha ou recusado. Segunda, o Tor Browser desativa ou arredonda APIs que os sites modernos dão como garantidas: WebGL, dimensões de ecrã precisas, storage persistente e uma longa lista de funcionalidades recentes do navegador. Os sites construídos em torno dessas APIs degradam com graça em teoria e sem graça nenhuma na prática.
Devo usar uma VPN com o Brave?
Para a maioria dos modelos de ameaça, sim, se queres esconder o teu IP aos destinos. O Brave Shields não toca no caminho de rede, por isso o destino continua a ver o teu IP residencial ou de escritório real. Juntar o Brave a uma VPN respeitadora da privacidade (a Mullvad e a IVPN são pontos de partida razoáveis, escolhidos por aceitarem dinheiro vivo e por não pedirem email de conta) dá-te fingerprints aleatorizados e IP escondido sem deixares para trás os sites renderizados em Chromium.
E o Mullvad Browser ou o DuckDuckGo Browser?
O Mullvad Browser é a build endurecida em Firefox do Tor Browser, sem a rede Tor, pensada para ser usada através da Mullvad VPN. Herda as defesas de fingerprinting do Tor sem o pedágio de conectividade do Tor, a troco de depender de um único fornecedor de VPN para a camada IP. O DuckDuckGo Browser embrulha o bloqueio de trackers e a limpeza da decoração de links num invólucro Chromium/WebKit mais simpático; o seu nível de proteção fica entre o Safari ITP e o Brave Shields, consoante a plataforma. Ambos valem uma vista de olhos se nenhum dos quatro grandes encaixar no teu modelo.
O AmIUnique diz-me mesmo quão único é o meu fingerprint?
Diz-te quão único é o teu fingerprint entre os visitantes do AmIUnique, que são uma população autosselecionada de utilizadores com curiosidade quanto à privacidade. A pontuação dá uma indicação de tendência. Usa-a como teste de sanidade para confirmar que as tuas defesas moveram alguma coisa, e não como afirmação absoluta sobre a web em geral. A ferramenta EFF Cover Your Tracks da Electronic Frontier Foundation é uma segunda opinião útil.
Escolhe a camada que encaixa na tua ameaça, e depois acrescenta isolamento
Ao longo de toda a comparação o padrão é consistente. O Brave dá-te o piso de privacidade por defeito mais sólido para a navegação do dia a dia. O Firefox Strict dá-te o modelo de particionamento mais limpo e as defesas mais configuráveis. O Safari ITP dá-te a melhor persistência em hardware Apple. O Tor Browser dá-te anonimato real, ao preço de uma web utilizável. Nenhum isola o teu dispositivo da página, e nenhum sobrevive ao momento em que inicias sessão.
- Por defeito o Brave, se queres privacidade forte sem ter de pensar nisso.
- Por defeito o Firefox Strict, se valorizas particionamento, personalização e um motor não-Chromium.
- Por defeito o Safari com Private Relay, se vives dentro do ecossistema Apple.
- Vai buscar o Tor Browser quando o anonimato é o objetivo a sério, e não só a comodidade.
- Acrescenta um cloud browser quando precisares que a página seja executada algures que não no teu dispositivo.
Os modos de privacidade reduzem o que a página aprende. O isolamento reduz o que a página pode fazer. Resolvem problemas vizinhos, e os setups mais sólidos empilham um em cima do outro. Atualizado para 2026.
Pronto para teres um desktop completo em qualquer dispositivo?
Experimenta o Browser.lol grátis e sente a produtividade de um PC a partir do telemóvel.
Abrir o meu navegador desktopSem instalações • Funciona em qualquer dispositivo
