ProtonBlog
Iscriviti con RSS

Privacy Decifrata #8: Cos’è il fingerprinting di browser e dispositivi?

Condividi questa pagina

Il fingerprinting è un modo per identificarti su internet e può essere molto difficile da prevenire. In questo articolo, discutiamo cosa sia il fingerprinting e come ridurre la tua impronta digitale.

I siti web amano sapere più cose possibili su di te. Questo perché più sanno di te, meglio possono indirizzare la pubblicità verso di te. Pertanto sono molto interessati a tracciare le tue attività su internet per costruire un modello dettagliato dei tuoi gusti, antipatie, hobby e altro, basato sulla tua cronologia di navigazione web.

Quindi utilizzano la grande quantità di informazioni personali raccolte per indirizzarti pubblicità altamente personalizzate.

Ci sono, tuttavia, motivi legittimi per cui i siti web vogliono identificare univocamente i loro visitatori, come la prevenzione di frodi con carte di credito, frodi bancarie e frodi nel commercio elettronico.

In passato, i siti web potevano identificarti facilmente tramite il tuo indirizzo IP(new window) e potrebbero tracciarti su diversi siti web utilizzando cookie di terze parti(new window). Tuttavia, la crescente consapevolezza delle questioni relative alla privacy negli ultimi anni ha reso questo compito più difficile. Sempre più persone utilizzano una VPN per nascondere i loro indirizzi IP e adottano misure per bloccare i cookie di terze parti.

Infatti, i browser Safari, Firefox e Brave hanno recentemente adottato la coraggiosa decisione di bloccare tutti i cookie di terze parti per impostazione predefinita,

I siti web hanno risposto adottando meccanismi di tracciamento più sofisticati, come HTTP E-Tags(new window), memoria web (o DOM)(new window) e sniffing della cronologia del browser(new window).

I metodi alternativi più comuni ed efficaci utilizzati oggi per identificare univocamente gli utenti del web, tuttavia, sono il fingerprinting di browser e dispositivi.

Cos’è il fingerprinting del browser?

Il tuo browser rivela sempre alcune informazioni ai siti web che visiti, come il nome del browser, il sistema operativo e il numero esatto della versione del browser. Questo è spesso chiamato fingerprinting passivo del browser perché avviene automaticamente.

Oltre a questo, i siti web possono chiedere al tuo browser ulteriori informazioni, come un elenco di tipi di dati supportati (i cosiddetti tipi MIME), sistema operativo e versione, font installati, plugin installati, colori del sistema, risoluzione dello schermo, fuso orario del browser e altro ancora. Questo è spesso chiamato fingerprinting attivo perché le informazioni devono essere richieste.

Cos’è il fingerprinting del dispositivo?

Il fingerprinting dei dispositivi funziona tradizionalmente attraverso il browser e include anche il fingerprinting del browser. Oltre alle caratteristiche del browser, cerca di identificare ulteriormente un visitatore del sito web utilizzando le caratteristiche uniche dei loro dispositivi, come la dimensione dello schermo, la profondità di colore, l’indirizzo IP del dispositivo e persino i segnali audio(new window), la durata della batteria(new window) e la calibrazione dell’accelerometro(new window) possono aiutare a identificare il tuo dispositivo.

Un influente studio del 2014(new window), “l’esperimento di fingerprinting dei sensori più esteso fino ad oggi”, condotto dai ricercatori della Stanford University, ha dimostrato che, “l’entropia derivante dal fingerprinting dei sensori è sufficiente per identificare univocamente un dispositivo tra migliaia di dispositivi, con bassa probabilità di collisione.”

Fino a poco tempo fa, il fingerprinting non era necessario per identificare gli utenti delle app, poiché le app avevano accesso diretto a una vasta gamma di informazioni personali che potevano comunque identificare il tuo dispositivo, incluso il tuo indirizzo IP, indirizzo MAC(new window), numero IMEI(new window) e altro ancora. Tuttavia, le versioni recenti di Android e iOS impediscono ora agli sviluppatori di app di accedere a questi identificatori forniti dal sistema.

È ancora possibile utilizzare trucchi, come generare un Identificatore Universale Unico(new window) (UUID) un file che (molto simile a un cookie del browser) può essere memorizzato su un dispositivo, ma l’affidabilità di tali metodi (ad esempio saranno cancellati se l’app viene disinstallata) significa che gli sviluppatori di app si stanno sempre più rivolgendo ai metodi di fingerprinting dei dispositivi di cui sopra.

Tecniche di fingerprinting combinate

Nel 2016, uno studio su larga scala(new window) sui tracker online condotto dai ricercatori della Princeton University ha scoperto che i siti web utilizzano tipicamente una gamma di tecniche di fingerprinting che, combinate, possono risultare efficaci contro un ampio spettro di misure anti-tracciamento.

Ha scoperto che, sebbene le misure anti-tracciamento popolari fossero abbastanza efficaci contro le tecniche di fingerprinting più comuni, come il fingerprinting della tela e il fingerprinting dei font della tela (entrambe forme comuni di fingerprinting del browser), “Solo una frazione del numero totale di script che utilizzano le tecniche vengono bloccati (tra l’8% e il 25%) mostrando che i terzi meno popolari non vengono rilevati. Tecniche meno conosciute, come la scoperta dell’IP WebRTC e il fingerprinting audio, hanno tassi di rilevamento ancora più bassi”.

Prevenzione delle frodi

L’abuso dei metodi di fingerprinting per scopi pubblicitari e analitici attira comprensibilmente molte critiche, ma questi metodi sono anche uno strumento inestimabile per prevenire vari tipi di frode e abusi online.

Il fingerprinting può aiutare a determinare se una sessione di internet banking è stata dirottata e può identificare le frodi con carta di credito. Ad esempio, il fingerprinting può aiutare a determinare se più richieste che sembrano provenire da più carte, ciascuna con indirizzi IP diversi, provengono in realtà dallo stesso dispositivo.

Allo stesso modo, quando combinato con altri metodi di rilevamento, il fingerprinting può aiutare a prevenire le frodi nel commercio elettronico identificando i truffatori che tentano di accedere a un account cliente legittimo da dispositivi o browser insoliti.

Quanto è unico il tuo fingerprint?

Uno studio del 2010(new window) della Electronic Frontier Foundation ha scoperto che l’84% dei browser aveva una configurazione unica, pur accettando che ci fossero molti fattori utilizzati dal software di fingerprinting che non era in grado di testare e che quindi avrebbero comportato tassi di rilevamento più elevati nella realtà.

I fornitori di prodotti per il fingerprinting, come FingerprintJS, affermano una precisione del 99,5%(new window) per il fingerprinting del browser e oltre il 90% di precisione(new window) nell’identificare correttamente un utente unico nel browser quando si utilizza Android, “e quando combinato con la cronologia di utilizzo, il matching approssimativo e i motori di probabilità, questa precisione può essere ulteriormente migliorata”.

La Electronic Frontier Foundation offre Cover your tracks(new window), uno strumento gratuito che valuta quanto sia unico il tuo browser.

Cover your tracks mostra "Il tuo browser ha un fingerprint unico"(new window)

Come ridurre il tuo fingerprint

Uno degli aspetti più frustranti del fingerprinting del browser è che ogni volta che modifichi il tuo browser, come installare componenti aggiuntivi, lo rendi più unico.

Questo significa che installare componenti aggiuntivi progettati per proteggere la tua privacy e prevenire il tracciamento in realtà lo rende più vulnerabile al fingerprinting del browser (puoi vedere questa dinamica in azione nello screenshot di Firefox sopra con vari plugin relativi alla privacy installati).

Sono disponibili componenti aggiuntivi anti-fingerprinting per Firefox e Chrome, ma nei nostri test si sono dimostrati in gran parte inefficaci. Firefox offre una funzionalità sperimentale di protezione dal fingerprinting(new window), ma ancora una volta, questo non ha impedito a Cover your tracks di identificare in modo univoco il nostro browser.

La EFF osserva che componenti aggiuntivi, come NoScript(new window) per Firefox possono essere abbastanza efficaci nel difendersi dal fingerprinting, ma questo è uno strumento che non è facile da usare e richiede una configurazione attenta per evitare di “rompere” molti siti web.

Nei nostri test, Safari su macOS e iOS/iPadOS, e Chromium Edge su Windows avevano fingerprint unici.

Tuttavia, il browser Brave utilizza un metodo di randomizzazione che si è dimostrato efficace nel prevenire il fingerprinting del browser sul desktop e su Android, sebbene non su iOS/iPadOS (questo è quasi certamente perché Apple limita i browser di terze parti all’uso del framework iOS WebKit, che limita fortemente ciò che possono fare sulla piattaforma).

Cover your tracks mostra "Il tuo browser ha un fingerprint randomizzato"(new window)

Il browser Tor si è dimostrato ancora più efficace nel bloccare il fingerprinting sul desktop anche al livello Standard di sicurezza(new window), sebbene offrisse solamente protezione parziale su Android con il livello di sicurezza impostato su Molto sicuro.

Nascondi le tue tracce mostrando "Il tuo browser ha un'impronta digitale non unica"(new window)

NetShield (Ad-blocker)

Tutte le app di Proton VPN(new window) offrono la funzione NetShield (Ad-blocker) che blocca le richieste DNS verso domini dannosi, pubblicitari e di tracciamento. Con NetShield (Ad-blocker) attivato, molti script di fingerprinting invasivi vengono bloccati, il che può ridurre notevolmente la tua impronta digitale(new window).

Scopri di più su NetShield (Ad-blocker)(new window)

Considerazioni finali

Come tutte le innovazioni tecnologiche, il fingerprinting di browser e dispositivi può essere utilizzato per il bene o per il male, ed è indubbiamente uno strumento utile nella lotta contro le frodi bancarie, di carte di credito e nel commercio elettronico.

Tuttavia, il loro uso diffuso da parte dei siti web per tracciare e spiare gli utenti a fini pubblicitari è una chiara violazione della privacy, resa ancora più insidiosa dal fatto che è così difficile da prevenire.

Il fatto che, utilizzando i browser più popolari, ogni sforzo fatto per migliorare la propria privacy aumenti in realtà la vulnerabilità al fingerprinting del browser, è ancora più irritante.

I siti web tentano di addossare la colpa a noi utenti, sostenendo che l’uso crescente di ad-blocker, gestori di cookie e altre misure anti-tracciamento significa che non sono in grado di guadagnare dalla pubblicità, costringendoli così a ricorrere a metodi di tracciamento sempre più sleali.

Questo, tuttavia, non è altro che manipolare i propri utenti. Nessuno ha chiesto o accettato di essere spiato quando utilizza internet. E ora che sempre più persone prendono in mano la situazione per proteggere la propria privacy, non ci sono scuse per ricorrere a metodi sempre più arcani e ingannevoli per sovvertire i desideri dei visitatori.

È quindi incoraggiante vedere che Brave e Tor Browser hanno sviluppato difese efficaci contro quello che, quando utilizzato per scopi pubblicitari e analitici, è un metodo pernicioso e altamente cinico di invadere la privacy degli utenti di internet.

Proteggi la tua privacy con Proton
Crea un account gratuito

Articoli correlati

What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Le basi della privacy
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Le basi della privacy
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
I furti di dati sono sempre più comuni. Ogni volta che ti registri a un servizio online, fornisci informazioni personali preziose per gli hacker, come indirizzi email, password, numeri di telefono e altro ancora. Purtroppo, molti servizi online non p
Una comunicazione sicura e fluida è il fondamento di ogni azienda. Con sempre più organizzazioni che proteggono i loro dati con Proton, abbiamo notevolmente ampliato il nostro ecosistema con nuovi prodotti e servizi, dal nostro gestore di password al