FUTURE PROOF. Cookie, supercookie e browser fingerprint

FUTURE PROOF

di Maurizio Dècina
I “cookie” (letteralmente: “biscotti”) costituiscono un problema di privacy per gli utenti del Web perché consentono di tracciare il comportamento degli utenti nella navigazione ipertestuale e di costruire nel tempo accurati profili degli utenti. I cookie classici, introdotti con il protocollo di navigazione del Web Http (Hyper Text Transfer Protocol), sono stati inventati da Lou Montulli e John Giannandrea di Netscape nel 1994. Un cookie è un header aggiuntivo presente in una richiesta o una risposta Http fatta da un “browser” verso un Web Server. Ha la lunghezza massima di 4 KiloByte, ed è composto da una stringa di testo arbitraria, una data di scadenza (oltre la quale non è più valido) e informazioni relative ai domini Web che possono leggerlo e modificarlo.

Oggi s’impiegano meccanismi di tracciamento della navigazione Web che sono molto più efficienti dei cookie originali. Cito qui tre di questi sistemi: i Super Cookie, i Dom Storage e i Browser Fingerprint.

I Super Cookie, detti anche Flash Cookie o Lso (Local Shared Objects), possono essere memorizzati nel pc su cui è installato Adobe Flash Player (a oggi il 98% dei Pc) quando un utente visita un sito che ha una componente Flash. A differenza degli ordinari cookie, un Super Cookie può essere lungo fino a 100 KiloByte, non ha data di scadenza e non può essere rimosso automaticamente dagli attuali browser. Nelle impostazioni di default di Flash Player, la memorizzazione e la consultazione dei Super Cookie è consentita a tutti, senza alcun avviso all’utente. I Super Cookie possono essere utilizzati per effettuare la rigenerazione dei cookie tradizionali cancellati dall’utente.

I Dom Storage sono metodi utilizzati da applicazioni Web per memorizzare in modo persistente informazioni sul terminale di utente. I metodi Dom (Document Object Model) sono realizzati nei browser conformi a Html 5 (Hyper Text Markup Language) e offrono grandi funzionalità per gli sviluppatori di applicazioni Web. I Dom Storage sono permanenti, senza scadenza, permettono l’accesso e il controllo dei dati anche da finestre differenti del browser e memorizzano fino a 10 MegaByte di dati strutturati con un data base Sql (Structured Query Language)! Il controllo dei Dom Storage è lasciato nelle mani degli utenti e/o delle applicazioni che ne fanno uso.

La tecnica del Browser Fingerprint consiste nel creare un’impronta digitale il più possibile univoca del terminale che accede a un contenuto Web. L’impronta digitale (detta anche “user agent”) è utilizzata per tener traccia del comportamento dell’utente nel tempo e tra diversi siti Web. Il metodo utilizzato per creare l’impronta è basato sull’inserimento nella pagina Web visitata di “script” Java che sono eseguiti localmente sul terminale. Lo script fa uso delle funzionalità interne del browser per esaminare la configurazione del browser stesso e del Pc che lo ospita. Le informazioni utilizzate per la creazione dell’impronta includono una varietà di dati: l’indirizzo Ip, i plug-in, la risoluzione dello schermo, l’orologio del Pc, i caratteri di sistema, la configurazione della privacy, ecc. Questi dati possono cambiare rapidamente, ma la Eff (Electronic Frontier Foundation) ha dimostrato come sia possibile inseguire le variazioni per riconciliarli in un’unica impronta digitale attraverso semplici algoritmi.

Provate a utilizzare il sito Panopticlick (https://panopticlick.eff.org/), sviluppato recentemente dalla Eff, e verificate l’impronta del vostro browser/Pc. Il mio browser è unico tra i circa 2 milioni di browser finora esaminati e quindi ha un’impronta digitale caratterizzata da circa 21 bit d’informazione!

19 Settembre 2011