Brave Browser hat mit Version 1.75 Custom Scriptlets eingeführt — eine Funktion, die Nutzern erlaubt, eigene JavaScript-Skripte auf beliebige Webseiten anzuwenden. Die Skripte werden über den integrierten Shields-Blocker ausgeführt, noch bevor die Seite vollständig geladen ist, und können damit Tracking-Code, Fingerprinting-APIs und Analytics-Dienste gezielt neutralisieren.
Technische Funktionsweise der Custom Scriptlets
Custom Scriptlets wurden ursprünglich als Debugging-Werkzeug für den Brave-Werbeblocker entwickelt und bieten ähnliche Möglichkeiten wie die Browser-Erweiterungen TamperMonkey und GreaseMonkey — jedoch ohne eine externe Erweiterung installieren zu müssen. Zu den zentralen Einsatzbereichen gehören:
- Neutralisierung von JavaScript-Tracking-Mechanismen (z. B. Event-Listener für Mausbewegungen und Scroll-Tiefe)
- Randomisierung von Browser-Fingerprinting-APIs wie
navigator.userAgent, Canvas- und WebGL-Readback - Ersetzung von Analytics-Skripten (Google Analytics, Hotjar) durch No-op-Funktionen
- Entfernung von Cookie-Consent-Overlays und Paywall-Elementen
- Performance-Optimierung durch Blockierung ressourcenintensiver Widgets
Die Ausführungsreihenfolge ist entscheidend: Scriptlets laufen im document-start-Kontext, sodass sie Tracking-Code blockieren können, bevor dieser überhaupt initialisiert wird.
Aktivierung und sichere Konfiguration
Die Funktion ist bewusst hinter dem Entwicklermodus versteckt. Der Zugang erfolgt über brave://settings/shields/filters → Abschnitt „Custom Scriptlets“ → Entwicklermodus aktivieren. Brave empfiehlt, ausschließlich selbst geschriebenen oder aus verifizierten Open-Source-Quellen bezogenen Code zu verwenden. Ein Scriptlet mit weitreichenden DOM-Zugriffen sollte vor der Aktivierung auf eine Test-Seite beschränkt und auf unerwartetes Verhalten geprüft werden. Das Brave-Datenschutz-Kompendium dokumentiert, welche Schutzmechanismen Scriptlets ergänzen und welche bereits nativ abgedeckt sind.
Für wen Custom Scriptlets relevant sind
Security-Forscher und Penetrationstester nutzen die Funktion, um Tracking-Verhalten auf Produktionsseiten zu analysieren, ohne eine Browser-Profilerweiterung installieren zu müssen. Datenschutzbewusste Privatnutzer können gezielte Skripte einsetzen, um Fingerprinting auf Seiten zu unterbinden, die Brave Shields standardmäßig nicht vollständig abdecken. Unternehmen mit strikten Browser-Richtlinien sollten beachten, dass Custom Scriptlets im Entwicklermodus laufen und das Risiko selbstgeschriebener Skripte mit Zugriff auf den vollen Seitenkontext nicht unterschätzt werden darf — die Funktion ist daher nicht für unkontrollierte Unternehmensprofile geeignet. Die OWASP-Richtlinien zur clientseitigen Sicherheit geben einen Überblick darüber, welche DOM-Operationen in Scriptlets besondere Vorsicht erfordern.
Brave 1.75 ist für Desktop-Plattformen (Windows, macOS, Linux) verfügbar. Mobile Versionen von Brave unterstützen Custom Scriptlets zum Zeitpunkt der Veröffentlichung nicht.
