Come Analisidifesa ti traccia con il canvas fingerprinting

Dal 2012 esiste un nuovo metodo di tracciare gli utenti di un sito. Si chiama Canvas Fingerprinting ed è un modo di prendere le impronte digitali del browser che stai usando. Il fingerprinting funziona anche quando l’utente ha scelto di disattivare i cookies.

Praticamente funziona che il browser viene associato più strettamente alle funzionalità del sistema operativo e al tuo hardware. Il comportamento del tuo browser varia in funzione a questi fattori. 


Quando visitiamo un certo sito un codice installato sul sito fa un rendering velocissimo di per esempio una frase e un immagine e il risultato viene inviato a un elemento   (gergo html).

I pixel prodotti dal rendering sono analizzabili e siccome non esistono due computer esattamente uguali possono essere usati per distinguere sistemi diversi, cioè prenderne le impronte digitali.

Test effettuati dagli inventori Mowery e Shacham hanno dimostrato che il risultato è sia consistente che trasparente e cioè che l’utente è sempre identificabile e non si rende mai conto di essere fingerprintato.

Ogni sito che esegue JavaScript nel browser del utente può prenderne le impronte.

Come tutte le tecnologie il fingerprinting può avere usi costruttivi e destruttivi. La motivazione ufficiale per cui il fingerprinting continua a essere permesso è la possibilità di identificare il furto d’identità e frodi legate alle carte di credito. Per esempio è utile per l’utente che la banca possa identificare il suo computer come quello “giusto”, e se non è quello usuale chiedere una password aggiuntiva. 

Ogni uso dove l’utente non trae beneficio dal tracking è da considerare distruttivo. 

Esiste un sito che elenca tutti i siti che al 5 maggio 2014 avevano codice canvas fingerprinting installato. Pare che la maggioranza di questi siti non sapessero neanche di averlo installato. Il codice incriminato era spesso non di proprietà del gestore/proprietario del sito, ma di aziende terze. Per esempio il web marketer AddThis, che tramite milioni di canvas analizzati su migliaia di siti che usano il loro software può tracciare il tuo percorso da youporn a starbucks, con in mezzo una piccola sosta purificante al biblegateway.

Alcuni come youporn da allora l’hanno disinstallato, ma chiaramente tanti altri siti si sono aggiunti, e il tuo abituale browser non te lo dirà mai quali sono. Il fingerprinting vuole essere il nuovo “cookie”, che non solo ti riconosce sul sito dove sei in questo momento, ma che raccoglie tutte le briciole che lasci in rete.

Per evitare di essere tracciato come già detto non basta disattivare i cookies. Un metodo è bloccare JavaScript, ma purtroppo rende moltissimi siti inutilizzabili. In alternativa puoi usare noscript, che ti permette di scegliere i siti che possono fingerprintarti, come la tua banca.

Oppure, come ho già suggerito nella pagina “sul blog” scritto credo nel 2011, puoi navigare con Tor. La sua lentezza scoraggia molti utenti, ma è efficace nel assicurare la tua privacy in rete. Quando Tor riscontra un sito che usa il codice che ti prende le impronte digitali, te lo dice con un popup che ti fa scegliere se accettare di lasciare le impronte o no.

Ecco uno screenshot dell’aspetto del popup quando il sito che stai visitando con Tor ti vuole mappare:

Esempio di alarme canvas fingerprinting

È possibile che Analisidifesa  (se segui il link ti tracciano) abbia installato il codice su tutti i ca 60 siti di proprietà di Intermedia Service Soc. Coop., i nomi dei quali non conosco visto che si tratta di informazione a pagamento. Se lo usano loro stessi per mappare chi si interessa di siti di difesa, o se le informazioni vengono (anche) venduti/dati a terzi non posso sapere.

In questo caso si tratta di un tracking distruttivo, in quanto non c’é nessuna utilità o beneficio per l’utente nel farsi mappare dai proprietari di analisidifesa.

Nota: La seconda volta che si visita il sito con Tor, il software Cloudflare blocca l’utente. Basta però inserire il captcha per continuare a leggere il sito. 

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: