Successivo

Magazine

Cosa racconta di te il tuo browser

Dario Orlandi | 6 Aprile 2016

Blog

Il browser è il programma più utilizzato in quasi tutti i computer e nei dispositivi mobile, e la porta d’accesso […]

Il browser è il programma più utilizzato in quasi tutti i computer e nei dispositivi mobile, e la porta d’accesso principale a Internet: il browser è lo strumento che espone più informazioni sugli utenti, e dev’essere utilizzato con cautela. Le molte tecnologie accumulatesi nel corso del tempo hanno trasformato un semplice visualizzatore di documenti html in un ambiente programmabile ricchissimo di funzioni, ma anche incredibilmente complesso.

I browser moderni possono eseguire vere e proprie applicazioni, anche molto evolute; per ottenere questo livello di potenza, è necessario un ambiente molto flessibile. Alcune informazioni sugli utenti sono inviate direttamente nell’header della richiesta https: ogni volta che il browser si collega con un server remoto, infatti, invia un pacchetto di dati in cui sono contenute anche alcune informazioni sulle funzioni disponibili e sulla configurazione. Naturalmente, la prima informazione inviata è l’indirizzo IP, necessario al server per sapere dove inviare il pacchetto di risposta. Ma l’IP, in realtà , non è particolarmente rilevante se si utilizza una connessione consumer.

Quasi tutti i provider, infatti, utilizzano IP dinamici, ossia assegnano un indirizzo selezionato a caso in un pool ogni volta che un utente si collega. Un indirizzo IP, quindi, non identifica quasi mai un utente in modo univoco. I provider hanno tutte le informazioni necessarie per risalire all’utente, se si conosce l’indirizzo IP, la data e l’ora della connessione; ma, come abbiamo già  accennato, queste informazioni sono di solito protette e vengono comunicate soltanto dietro richiesta dell’autorità  giudiziaria. Ma, purtroppo, ci sono molti altri metodi per identificare univocamente gli utenti: insieme all’indirizzo IP del computer, infatti, il browser invia moltissime altre informazioni, utili al server per restituire i dati più pertinenti e utili.

Per fare un esempio banale, il browser comunica la lingua del sistema operativo installato, e il server può così rispondere direttamente con la pagina tradotta nell’idioma dell’utente. I problemi iniziano quando la quantità  di informazioni cresce troppo: il browser, infatti, comunica il suo nome e versione, il sistema operativo, la risoluzione dello schermo, la presenza di plug-in e tecnologie specifiche (Flash, Java, Silverlight e così via), l’elenco completo dei font installati e molto altro ancora. Per avere un’idea dei dati inviati dal browser, ed eventualmente per testare l’efficacia dei sistemi di mascheramento, si può visitare l’indirizzo www.stayinvisible.com, che analizza le informazioni ricevute e compila un report facile da consultare.

Tutte queste informazioni sono potenzialmente utili al server per restituire contenuti rilevanti e ottimizzati (per esempio pagine più compatte e leggere se ci si collega da un dispositivo mobile), ma la loro quantità  le rende pericolose: i dati sono così tanti che la loro combinazione può permettere un’identificazione univoca dell’utente e del computer.

browser test

Il tool online Panopticlick della Electronic Frontier Foundation analizza le informazioni esposte dal browser per determinare se la loro combinazione può consentire di identificare l’utente in modo univoco.

Per verificare questo aspetto si può visitare il sito https://panopticlick.eff.org, realizzato dalla Electronic Frontier Foundation (Eff); nel nostro caso, la combinazione di informazioni è risultata unica tra i quasi 5.000.000 di configurazioni analizzate, e oltre 22 bit di informazioni permettevano di individuare univocamente il nostro browser. È la cosiddetta browser fingerprint (impronta digitale del browser), che secondo le analisi di Eff è in grado di identificare oltre 8 utenti su 10.