Проект Tor и VPN-провайдер Mullvad представили совместно развиваемый web-браузер Mullvad Browser, ориентированный на защиту конфиденциальности пользователя. Технически Mullvad Browser основан на движке Firefox и включает почти все изменения из Tor Browser, отличаясь главным образом тем, что не использует сеть Tor и отправляет запросы напрямую (вариант Tor Browser без Tor). Предполагается, что Mullvad Browser может быть интересен пользователям которые не хотят работать через сеть Tor, но желают получить доступные в Tor Browser механизмы повышения конфиденциальности, блокирования отслеживания посещений и защиты от идентификации пользователя. Mullvad Browser не привязан к Mullvad VPN и может использоваться всеми желающими. Код браузера распространяется под лицензией MPL 2.0, разработка ведётся в репозитории проекта Tor.
Для обеспечения дополнительной защиты в Mullvad Browser, как и в Tor Browser, включена настройка “HTTPS Only” для шифрование трафика на всех сайтах, где это возможно. Для снижения угрозы от проведения атак с использованием JavaScript и блокирования рекламы в комплекте поставляются дополнения NoScript и Ublock Origin. Для определения имён задействован DNS-over-HTTP сервер Mullvad. Готовые сборки формируются для Linux, Windows и macOS.
По умолчанию применяется режим приватного просмотра, удаляющий Cookie и историю посещений после окончания сеанса. Доступно три режима безопасности: Standard, Safer (JavaScript включён только для HTTPS, отключена поддержка тегов audio и video) и Safest (без JavaScript). В качестве поисковой системы применяется DuckDuckgo. В состав входит дополнение Mullvad для упрощения подключения к Mullvad VPN (использование Mullvad VPN не обязательно).
Для защиты от отслеживания перемещения пользователя и от выделения специфичных для конкретного посетителя особенностей отключены или ограничены API WebGL, WebGL2, Social, SpeechSynthesis, Touch, WebSpeech, Gamepad, Sensors, Performance, AudioContext, HTMLMediaElement, Mediastream, Canvas, SharedWorker, Permissions, MediaDevices.enumerateDevices и screen.orientation, а также отключены средства отправки телеметрии, Pocket, Reader View, HTTP Alternative-Services, MozTCPSocket, “link rel=preconnect”, организована отдача данных только о части установленных шрифтов. Для блокирования идентификации по размеру окна задействован механизм letterboxing, добавляющий отступы вокруг содержимого веб-страниц. Убран менеджер паролей.
Отличия от Tor Browser: не используется сеть Tor, отсутствует поддержка разных языков, возвращена поддержка WebRTC и API Web Audio, интегрированы дополнения uBlock Origin и Mullvad Browser Extension, отключена защита Drag&Drop, прекращён вывод предупреждения при загрузках, в NoScript отключена защита от утечек между вкладками информации, которую можно использовать для идентификации пользователя.