arc-convert-01
Home : Archivio
Sul perché piccoli pacchetti di dati con un nome da tè delle cinque sono diventati così importati per il funzionamento del web e così pericolosi per la privacy degli utenti.
Persa senza appello la battaglia per la leadership tra i browser, Mozilla ha faticato non poco per trovare un nuovo posizionamento a Firefox. Del resto quando i tuoi concorrenti possono sfruttare la forza dirompente di un ecosistema chiuso o di un monopolio di fatto, c'è ben poco da fare se non tentare di ritagliarsi uno spazio sufficiente a sopravvivere. Chiedere ai norvegesi di Opera per conferma. Da un po' di tempo questa linea caratteriale in Firefox si è manifestata attraverso una attenzione pregevole ed intelligente verso la privacy. Pregevole come tutte le cose rare e intelligente perché costruita per evitare di "rompere" il web e tagliare fuori dal mondo i propri utenti. Già, perché piazzare su un paio di impostazioni rigide ed un bel adblock aggressivo non è poi così complicato, ma gli utenti si ritroveranno bloccati in molte delle attività che vorrebbero continuare a svolgere. Al contrario la parte difficile consiste proprio nel proteggere la privacy senza che questo diventi una sorta di ghettizzazione. Un passo recente in questo complesso gioco lo abbiamo visto pochi giorni fa parlando della protezione dai superkookie di Firefox 85. Ora in Firefox 86 debutta anche una nuova funzione chiamata Total Cookie Protection che prova a porre rimedio all'annosa questione dei cookie traccianti. Se vi può interessare, questo sarà il tema del decimo numero di Trentanove - La rete che verrà.
Siamo nel 1994; Dopo una intensa esperienza in Mosaic, Marc Andreessen co-fonda Netscape Communications, società che dominerà per diversi anni il nascente mercato del web. Una delle prospettive più interessanti in quel momento storico arriva dalla progressiva apertura di Internet all'uso commerciale, scenario impensabile solo pochi anni prima. Ed uno dei primi progetti conto terzi che Netscape si trova a realizzare riguarda proprio il commercio elettronico.
MCI colosso statunitense delle telecomunicazioni commissiona a Netscape la realizzazione di un ecommerce ponendo una singolare condizione tecnica: l'azienda desidera che le informazioni parziali di ogni transizione non vengano memorizzate sui propri server ma direttamente sui computer degli utenti. Per rispondera a questa richiesta Lou Montulli inventa la tecnologia dei cookie HTTP che permette ad un sito web di depositare brevi informazioni testuali nei computer dei visitatori di un sito internet. Può sembrare complicato, ma è usando questa tecnica che ancora oggi si possono riempire carrelli virtuali sui siti di ecommerce o mantenere aperto un login su un sito.
La soluzione ideata da Montulli prevede che i cookie siano inviati e ricevuti attraverso le intestazioni HTTP. Quando il browser visita un sito web riceve in risposta delle intestazioni HTTP che possono includere eventualmente anche dei cookie. Se presenti, il browser si occupa di gestirli memorizzandoli in aree apposite. Il sistema viene introdotto nella versione 0.9beta di Netscape Mosaic nel quarto trimestre dello stesso 1994 e viene collaudata per la prima volta sul sito ufficiale di Netscape che grazie all'uso di un cookie è in grado di riconoscere i visitatori ricorrenti.
Per comprendere meglio la situazione bisogna ricordare che in quel contesto Netscape opera in molte direzioni ed in particolare sviluppa anche componenti server. Ed è proprio grazie a questa sinergia client-server che può introdurre i cookie senza preoccuparsi troppo di standardizzazione o interoperabilità. Ovviamente la tecnologia dei cookie in questa fase è del tutto trasparente per tutti gli altri browser.
L'anno successivo il supporto ai cookie viene introdotto anche in Internet Explorer e da li a poco inizia un processo di standardizzazione sotto l'egida della Internet Engineering Task Force che alla fine vedrà webserver e browser convergere sostanzialmente sulla implementazione di Netscape.
Da quella fase di discussione, sintetizzata nella RFC 2109 [1], emergono in forma embrionale anche i problemi di privacy legati ai cookie. Ci si rende infatti conto che se una pagina web include anche elementi di una seconda risorsa web, anche quest'ultima acquisisce la capacità di impostare e leggere cookie. Questo concetto, poi codificato sotto l'espressione "cookie di terze parti" è alla base di molte delle tecniche di tracciamento commerciale degli utenti, ma questa come si suol dire, è un'altra storia.
Che il legame cookie - privacy sia ancora in parte irrisolto lo evidenzia una delle ultime novità introdotte da Firefox. La Total Cookie Protection si aggiunge alla protezione anti-tracciamento e cerca di tenere assieme la tutela della privacy dell'utente con la compatibilità con il web moderno. La soluzione adottata da Mozilla consiste nell'isolare i cookie in spazi separati, uno per ogni sito web visitato. In questo spazio finiscono sia i cookie di prima parte del sito visitato che i cookie di terze parti presenti nella pagina visitata. Questa tecnica dovrebbe consentire di neutralizzare l'uso di cookie traccianti presenti in siti differenti: un tracciante inserito in due siti diversi non avrà modo di incrociare le informazioni perché in entrambi i casi potrà accedere solo alle informazioni dello spazio cookie del singolo sito.
Per spiegare meglio la questione ho deciso di tradurre una parte dell'articolo Firefox 86 Introduces Total Cookie Protection [2] scritto da Tim Huang, Johann Hofmann and Arthur Edelstein lo scorso 23 febbraio. L'articolo è disponibile sul blog di Mozilla ed è rilasciato sotto licenza Creative Commons Attribution Share-Alike 3.0 Unported license. Anche questo blocco di traduzione è quindi da intendersi rilasciato sotto la stessa licenza. Eventuali errori di traduzione sono ovviamente colpa mia.
-- Inizio traduzione --
Firefox 86 introduce la Total Cookie Protection
Oggi siamo lieti di annunciare Total Cookie Protection, un importante passo in avanti per la privacy in Firefox integrato nella modalità ETP Strict (Enhanced Tracking Protection, ndr). La Total Cookie Protection limita i cookie al sito da cui sono stati creati, ciò impedisce alle società di tracciamento di utilizzare questi cookie per tracciare la tua navigazione da un sito all'altro.
I cookie, quei ben noti frammenti di dati che i browser memorizzano per conto di un sito web, sono una tecnologia utile, ma anche una grave minaccia per la privacy. Questo perché il comportamento tipico dei browser permette la condivisione dei cookie tra i siti web, consentendo così a coloro che vorrebbero spiarti di "etichettare" il tuo browser e tracciarti durante la navigazione. Questo tipo di tracciamento basato sui cookie è stato per molto tempo il metodo più diffuso per raccogliere informazioni sugli utenti. è un componente chiave del monitoraggio commerciale di massa che consente alle società pubblicitarie di costruire silenziosamente un profilo personale e dettagliato su di te.
Nel 2019, Firefox ha introdotto per impostazione predefinita la protezione antitracciamento avanzata, bloccando i cookie delle società identificate come tracker dai nostri partner su Disconnect. Volevamo però portare le protezioni al livello successivo e creare difese ancora più complete contro il tracciamento basato sui cookie per garantire che nessun cookie possa essere utilizzato per tracciarti da un sito all'altro mentre navighi sul web.
La nostra nuova funzionalità, Total Cookie Protection, funziona mantenendo un "barattolo dei cookie" separato per ogni sito Web visitato. Ogni volta che un sito web, o un contenuto di terze parti incorporato in un sito web, deposita un cookie nel browser, questo cookie viene limitato al barattolo dei cookie assegnato a quel sito web, in modo che non possa essere condiviso con nessun altro sito.
Inoltre, Total Cookie Protection prevede un'eccezione limitata per i cookie cross-site quando sono necessari per scopi diversi dal tracciamento, come quelli utilizzati dai provider di accesso di terze parti più diffusi. Solo quando Total Cookie Protection rileva che si intende utilizzare un provider, darà a tale provider il permesso di utilizzare un cookie cross-site specifico per il sito che si sta attualmente visitando. Tali eccezioni momentanee consentono una forte protezione della privacy senza influire sulla tua esperienza di navigazione.
In combinazione con la Supercookie Protections che abbiamo annunciato il mese scorso, Total Cookie Protection porta in Firefox un partizionamento completo dei cookie e di altri dati dei siti. Insieme, queste funzionalità impediscono ai siti Web di "etichettare" il browser, eliminando così la tecnica di tracciamento cross-site più diffusa.
Per ulteriori dettagli tecnici su come funziona Total Cookie Protection sotto il cofano, puoi leggere la pagina MDN su State Partitioning e il nostro post sul blog su Mozilla Hacks.
-- Fine traduzione --
Spero che a forza di sentir parlare di biscottini non vi sia venuta troppa fame... A proposito forse è da chiarire perché i cookie abbiano proprio questo nome. Nel tentativo di dare una risposta però ci si imbatte in un percorso ricorsivo. Montulli infatti utilizzo l'espressione "cookie HTTP" poiché per il suo lavoro si era ispirato ai magic cookie dei sistemi Unix.
Alla prossima!
LINK:
[1] https://tools.ietf.org/html/rfc2109
[2] https://blog.mozilla.org/security/2021/02/23/total-cookie-protection/