ChimeraRevo – Il punto di riferimento della tecnologia
menubar
Tag: Google Chrome Mozilla Firefox
Home > Guide > Internet > HSTS, il cookie che traccia…

HSTS, il cookie che traccia anche in incognito

Gaetano Abatemarco Gen 08, 2015

Abbiamo parlato in diverse occasioni di anonimato sul web, specie per quel che riguarda evitare di lasciare tracce di cosa si visita sui computer o di essere tracciati il meno possibile: una delle modalità di azione più usate per ottenere – in tutto o in parte – entrambi i risultati è l’utilizzo della navigazione in incognito presente in tutti i browser moderni.

Questa permette infatti di non salvare cronologia, cookie o qualsiasi altra informazione possa permettere ad altri utenti di risalire all’attività di navigazione tantomeno di usare le informazioni (come cookie, cronologia e quant’altro) memorizzate dalle sessioni “ordinarie”. Potrete leggere il nostro approfondimento in fondo all’articolo per sapere precisamente cosa può e cosa non può fare la navigazione in incognito.

hsts

Vi abbiamo raccontato anche in quell’occasione che la navigazione in incognito non può accedere ai cookie già memorizzati in precedenza, per cui può limitare anche il fastidioso fenomeno del tracking. Grazie ad un potenziale utilizzo improprio di una funzionalità di sicurezza introdotta in tempi recenti, ciò potrebbe non più accadere: capiamone qualcosa in più.

Il cookie HSTS (HTTP Strict Transport Security)

Da diversi mesi a questa parte, le big di Internet – Google per prima – hanno deciso di spingere webmaster e utenti ad utilizzare connessioni sicure durante la navigazione web, garantite dal protocollo HTTPS (SSL su HTTP) così da azzerare (o quasi) il rischio di essere intercettati dall’esterno.

Per garantire ciò, recentemente molti browser moderni hanno introdotto il supporto ad HSTS, ovvero un meccanismo che permette ai siti di “imporre al browser” di usare solo ed esclusivamente HTTPS durante le interazioni successive. Chiaramente ciò succede soltanto per i siti che supportano HTTPS, e la “forzatura” viene comunicata attraverso un “super cookie” – HSTS, appunto.

Una cosa ottima ed implementata in nome della sicurezza ma che, se usata male, potrebbe portare ad un fastidioso effetto collaterale.

HSTS “resiste” alla navigazione in incognito

Nonostante il problema fosse stato posto già all’atto dell’implementazione di HSTS, soltanto in tempi recenti Sam Greenhalgh, ricrcatore di sicurezza, ha esposto in una pubblicazione la prova concreta che ciò effettivamente accade: il cookie HSTS memorizzato sul computer può essere letto anche durante una sessione di navigazione anonima.

Per dimostrarlo Greenhalgh ha pubblicato un proof-of-concept accessibile a tutti: basta visitare questa pagina tramite una sessione ordinaria del browser e, successivamente, visitare la stessa pagina usando però la navigazione in incognito.

hsts

In parole povere, la prima visita salva un cookie HSTS contenente un certo codice, codice che viene letto senza problemi (insieme al cookie stesso) anche in modalità Incognito.

Quindi HSTS può essere modificato per essere usato ai fini di tracking?

La risposta è SI: un cookie del genere opportunamente modificato può estendere la tracciatura (tramite il solito ID dispositivo) anche sulle sessioni di navigazioni in incognito del browser; i siti web che decideranno di usarlo in questo modo oltre che per garantire la continuità dell’HTTPS, quindi, potrà disporre della vostra attività di navigazione anche durante le sessioni incognito.

Il comportamento tuttavia differisce a seconda del browser:

  • Google Chrome segue questa regola ed estende HSTS anche alla modalità anonima, così come Safari, per garantire la sicurezza dell’utente;
  • A partire dalla versione 34, Firefox impedisce ad HSTS di esistere anche nella navigazione in incognito per garantire la privacy dell’utente;
  • Internet Explorer non è “vulnerabile” a questo tipo di tracking poiché, al momento, non supporta HSTS.

Sebbene non sono note informazioni su siti web ce utilizzano HSTS in maniera “impropria”, l’unica soluzione al momento conosciuta per evitare tutto ciò è quella di cancellare i cookie prima di accedere ad una sessione di navigazione in incognito se si utilizza Google Chrome o Safari.

APPROFONDIMENTO | Anonimato in rete: basta la sessione privata del browser?

Cosa fare prima di usare un PC nuovo

4 ore fa

Quando si acquista un PC nuovo di zecca si ha subito voglia di provarlo e testarne tutte le funzionalità. Tuttavia, bisogna compiere alcune operazioni che vi consentiranno di utilizzare il nuovo PC in maniera sicura leggi di più…

cose da fare prima di utilizzare un PC nuovo

Hosting WordPress: i migliori da usare

23 ore fa

Dietro ogni sito web di successo c’è sempre un servizio di hosting che si rispetti. WordPress, come tutti i CMS, necessita di una solida struttura per dare il massimo sia a chi gestisce il sito, leggi di più…

hosting

Come cercare parole in un PDF

1 giorno fa

Quanti di voi hanno scorso centinaia di pagine per trovare un preciso argomento presente in un PDF? Se siete arrivati a leggere questa guida però, vi sarete sicuramente resi conto che effettivamente esiste una soluzione leggi di più…

File PDF

I migliori giochi PS4 da comprare nel 2021

2 giorni fa

La PlayStation 4 è una delle console di ultima generazione più utilizzate; quest’ultima, grazie ad una grande quantità di titoli messi a disposizione dell’utente, offre un’ottima forma di intrattenimento. I giochi per PS4 sono infatti leggi di più…

Horizon Zero Dawn

Giochi PS5: i migliori da giocare nel 2021

2 giorni fa

Finalmente quel giorno che tutti i gamer aspettavano con ansia è arrivato: Sony ha presentato ufficialmente la nuova PlayStation 5. La console di nuova generazione targata Sony porta con sé moltissime novità, sia dal punto leggi di più…

PlayStation 5

Iscriviti alla Newsletter

Articoli recenti

  • Cosa fare prima di usare un PC nuovo
  • Hosting WordPress: i migliori da usare
  • Come cercare parole in un PDF
  • I migliori giochi PS4 da comprare nel 2021
  • Giochi PS5: i migliori da giocare nel 2021
  • Chi siamo
  • Lavora con noi
  • Contattaci
  • Privacy

Copyright © 2020. Tutti i diritti riservati. ChimeraRevo SRL - P.I.: IT05544220659

Modifica impostazioni sulla privacy