Abbiamo parlato in diverse occasioni di anonimato sul web, specie per quel che riguarda evitare di lasciare tracce di cosa si visita sui computer o di essere tracciati il meno possibile: una delle modalità di azione più usate per ottenere – in tutto o in parte – entrambi i risultati è l’utilizzo della navigazione in incognito presente in tutti i browser moderni.
Questa permette infatti di non salvare cronologia, cookie o qualsiasi altra informazione possa permettere ad altri utenti di risalire all’attività di navigazione tantomeno di usare le informazioni (come cookie, cronologia e quant’altro) memorizzate dalle sessioni “ordinarie”. Potrete leggere il nostro approfondimento in fondo all’articolo per sapere precisamente cosa può e cosa non può fare la navigazione in incognito.
Vi abbiamo raccontato anche in quell’occasione che la navigazione in incognito non può accedere ai cookie già memorizzati in precedenza, per cui può limitare anche il fastidioso fenomeno del tracking. Grazie ad un potenziale utilizzo improprio di una funzionalità di sicurezza introdotta in tempi recenti, ciò potrebbe non più accadere: capiamone qualcosa in più.
Da diversi mesi a questa parte, le big di Internet – Google per prima – hanno deciso di spingere webmaster e utenti ad utilizzare connessioni sicure durante la navigazione web, garantite dal protocollo HTTPS (SSL su HTTP) così da azzerare (o quasi) il rischio di essere intercettati dall’esterno.
Per garantire ciò, recentemente molti browser moderni hanno introdotto il supporto ad HSTS, ovvero un meccanismo che permette ai siti di “imporre al browser” di usare solo ed esclusivamente HTTPS durante le interazioni successive. Chiaramente ciò succede soltanto per i siti che supportano HTTPS, e la “forzatura” viene comunicata attraverso un “super cookie” – HSTS, appunto.
Una cosa ottima ed implementata in nome della sicurezza ma che, se usata male, potrebbe portare ad un fastidioso effetto collaterale.
Nonostante il problema fosse stato posto già all’atto dell’implementazione di HSTS, soltanto in tempi recenti Sam Greenhalgh, ricrcatore di sicurezza, ha esposto in una pubblicazione la prova concreta che ciò effettivamente accade: il cookie HSTS memorizzato sul computer può essere letto anche durante una sessione di navigazione anonima.
Per dimostrarlo Greenhalgh ha pubblicato un proof-of-concept accessibile a tutti: basta visitare questa pagina tramite una sessione ordinaria del browser e, successivamente, visitare la stessa pagina usando però la navigazione in incognito.
In parole povere, la prima visita salva un cookie HSTS contenente un certo codice, codice che viene letto senza problemi (insieme al cookie stesso) anche in modalità Incognito.
Quindi HSTS può essere modificato per essere usato ai fini di tracking?
La risposta è SI: un cookie del genere opportunamente modificato può estendere la tracciatura (tramite il solito ID dispositivo) anche sulle sessioni di navigazioni in incognito del browser; i siti web che decideranno di usarlo in questo modo oltre che per garantire la continuità dell’HTTPS, quindi, potrà disporre della vostra attività di navigazione anche durante le sessioni incognito.
Il comportamento tuttavia differisce a seconda del browser:
- Google Chrome segue questa regola ed estende HSTS anche alla modalità anonima, così come Safari, per garantire la sicurezza dell’utente;
- A partire dalla versione 34, Firefox impedisce ad HSTS di esistere anche nella navigazione in incognito per garantire la privacy dell’utente;
- Internet Explorer non è “vulnerabile” a questo tipo di tracking poiché, al momento, non supporta HSTS.
Sebbene non sono note informazioni su siti web ce utilizzano HSTS in maniera “impropria”, l’unica soluzione al momento conosciuta per evitare tutto ciò è quella di cancellare i cookie prima di accedere ad una sessione di navigazione in incognito se si utilizza Google Chrome o Safari.
APPROFONDIMENTO | Anonimato in rete: basta la sessione privata del browser?