PRIVACY

Browser fingerprint: è vero che i cookie non potranno essere più cancellati?

Browser e dispositivi fingerprint creano i cookie per tracciare i comportamenti on line degli utenti. Oggi si possono bypassare ma in futuro non potranno più essere eliminati. Come risolvere l’ennesima minaccia alla nostra privacy?

Pubblicato il 14 Dic 2015

cookie-privacy-sicurezza-151212165746

Cookie è un simpatico nomignolo inventato peredulcorare una forma di tracciamento dei nostri comportamenti on line. I biscottini digitali, infatti, sono piccoli file di testo utilizzati principalmente per fornire ai server web informazioni sull’utente che sta navigando. Brand e venditori di pubblicità su Internet utilizzano i cookie per fornire annunci mirati, basati appunto sullo storico delle attività online dei Web surfer.

Ultimamente, però, si è aperto un dibattito sui browser e sui dispositivi fingerprint, ovvero sulle impronte digitali del dispositivo (dette anche machine fingerprint o browser fingerprint), ovvero sull’informazione raccolta su di un dispositivo di elaborazione remoto a scopo di identificazione.

La device fingerprint, infatti, permette di identificare in tutto o in parte i singoli utenti o dispositivi anche quando i cookie sono disattivati. Le ultime notizie riportate dagli esperti è che i cookie non si potranno più cancellare. Quali rischi presentano per le aziende e per gli utenti a livello di privacy?

Chi vuole un cookie?

L’Utilizzo dei cookie per tracciare e profilare le abitudini di navigazione delle persone è sempre stata controversa. Nonostante questi timori, gli utenti hanno sempre avuto la possibilità di cancellare i cookie HTTP tradizionali. Per le aziende che cercano di indirizzare gli utenti verso i propri annunci pubblicitari, il fatto che gli utenti possano bloccare o cancellare questi cookie, è un problema. Il che sta portando queste aziende ad aggirare la questione.

Un esempio è l’operatore di telefonia mobile Verizon Wireless, che ha sperimentato un cookie persistente e non cancellabile che viene aggiunto appena il traffico dati passa attraverso le proprie reti una volta che ha lasciato il telefono dei loro utenti. Nei laboratori di ricerca e sviluppo ci sono programmatori ingaggiati da aziende commerciali che stanno concentrando i loro sforzi nel produrre un browser perfetto, capace di generare impronte digitali in modo univoco per identificare gli utenti una volta che si collegano a Internet utilizzando proprio questo tipo di browser.

Se poi questo browser commerciale sarà pubblicizzato o meno sarà tutto da verificare: secondo gli esperti, infatti, saranno pochi gli utenti disposti a utilizzare un software che saprà (e mostrerà a terzi) ogni dettaglio della propria attività online e, grazie ad algoritmi sempre più sofisticati, anche qualcosa in più.

I cookie… più freschi

La Electronic Frontier Foundation (EFF), ha creato un sito web campione chiamato Panopticlick che dimostra come sia facile individuare, in forma anonima, un utente che utilizza un browser web comune. L’esperimento, che ha coinvolto dei volontari, ha rilevato con una precisione che sfiora il 94% dei casi tutti quegli utenti che si sono collegati utilizzando solo le informazioni che un qualsiasi browser rivela su un utente e sul dispositivo che sta utilizzando per accedere al web.

Esiste anche un browser open source dotato di fingerprint scritto con codice JavaScript e disponibile su GitHube, mentre aziende di Web-Tracking come AddThis, hanno testato e stanno utilizzando le personalizzazioni che utilizza un utente per identificarlo in modo anonimo ma univoco.

Parametri come font installati, intestazioni http, dimensioni dello schermo, fuso orario, lingua e plug-in installati vengono analizzati da un tool hash per produrre un’impronta digitale dell’utente. L’aggiunta di dati quali l’estensione Canvas del linguaggio HTML5, potrebbe rendere l’impronta digitale abbastanza univoca, e potrebbe così sostituire i cookie attuali, con buona pace degli utenti che non potranno così evitare di essere monitorati nelle loro attività online. I cookie fornisco un metodo accettabile per identificare le persone una volta che si collegano al web, e sono ben compresi e accettati dalla stragrande maggioranza degli utenti. Caratteristica molto importante dei cookie è quella che riguarda la privacy degli utenti, visto che quest’ultimi possono tranquillamente cancellare i cookie in qualsiasi momento. Tuttavia le impronte digitali e altri metodi di monitoraggio inevitabile cambiano di molto lo scenario, favorendo coloro che tengono traccia in forma anonima degli utenti su Internet.

Le contromisure esistenti sono di utilità limitata, come ad esempio la navigazione privata e la modalità in incognito non hanno alcun effetto. I vari plug-in del browser che gestiscono i cookie, paradossalmente, costituiscono ulteriori meccanismi che possono essere sfruttati per il monitoraggio e possono rendere le impronte digitali di un utente ancora più specifiche. I plug-in sviluppati per la privacy, come Ghostery, dovrebbero però essere in grado di controllare il codice fingerprint utilizzato dai fornitori di pubblicità per il web per il monitoraggio degli utenti.

Rischio privacy per le aziende

Una valutazione di questo rischio nelle politica di sicurezza di un’azienda, su come vengono configurati i browser che gestiscono i vari tipi di cookie, dovrà essere presto messa in atto, ma è bene sottolineare che le contromisure fin ora adottate contro i classici cookie non avranno effetto con le impronte digitali.

Certamente, disabilitare plug-in come Flash, Java, WebGL e JavaScript renderà un’impronta digitale più generica, ma un alto numero di browser non si potranno praticamente utilizzare. Secondo la EFF il browser più resistente alle impronte digitali è Tor, grazie alla sua stringa user-agent e al suo approccio aggressivo nel bloccare le funzioni JavaScript.

Tor, inoltre, richiede l’autorizzazione all’utente prima di dare accesso a siti web scritti in HTML5 che utilizzano l’estensione Canvas. La stessa funzione è offerta dall’estensione del browser Chrome CanvasFingerprint Block, e dai plug-in DoNotTrackMe e PrivacyyBadger.

Cosa dice la legge

Le leggi sulla privacy Internet si sono dimostrate inefficaci nel proteggere gli utenti da tecnologia di localizzazione aggressive, ma una commissione di sorveglianza dell’Unione Europea ha confermato che le norme che regolano le privacy nelle comunicazioni elettroniche (e-Privacy) sono applicabili anche alle machine fingerprint o browser fingerprint che dir si voglia, così come ad altre tecnologie alternative ai cookie attuali.

Le impronte digitali possono contenere dati personali: quindi il trattamento di questo tipo di informazioni è soggetto alle leggi sulla protezione dei dati. Per questo motivo, gli amministratori di siti web devono fornire informazioni chiare e complete su come vengono raccolti e utilizzati i dati, e ottenere il consenso degli utenti al fine di utilizzare tali informazioni per fornire pubblicità mirate.

Sicuramente non sarà semplice determinare se gli amministratori di siti web onoreranno l’obbligo di cancellazione di questi dati provenienti da una richiesta di rinuncia dell’utente. Le impronte digitali (come anche gli attuali cookie) possono, naturalmente, essere utilizzate senza consenso, se vengono utilizzate solo per adattare l’interfaccia utente per un dispositivo, per la fornitura un servizio esplicitamente richiesto dall’utente, o come un controllo di sicurezza per impedire l’accesso non autorizzato a un determinato servizio. Tuttavia, utilizzando le impronte digitali come parte di un processo più ampio per verificare l’identità e utilizzandola per fornire servizi non espressamente richiesti, si dovrebbe avere comunque, come sempre, il consenso dell’utente. E questa pare essere la sfida più grande per chi protegge i dati personali dei cittadini.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati