Gli "evercookie": una minaccia per la privacy? Ecco come eliminarli

Come noto, si chiamano cookie quei particolari frammenti di testo la cui creazione è spesso richiesta da parte di un’applicazione web. La generazione del cookie, richiesta al browser web dell’utente (qualunque prodotto egli stia impiegando), avviene sul sistema client ed il contenuto del cookie viene reinviato all’applicazione web ogniqualvolta l’utente si connetta al medesimo server remoto. I cookie consentono di annotare, sul sistema dell’utente che si collega ad un sito web, alcune informazioni successivamente utilizzabili, ad esempio, per evitare l’effettuazione di una nuova procedura di login.
Semplici file testuali, i cookie non rappresentano di per sé una minaccia: anzi, il loro impiego è di fondamentale importanza, per esempio, per il corretto funzionamento di negozi online (i prodotti inseriti nel “carrello della spesa” vengono temporaneamente memorizzati in un cookie), per conservare il login in un blog, un’area privata, un forum, una qualunque applicazione web che richieda qualsiasi forma di autenticazione. I cookie sono utilizzati anche da aziende attive nel campo dell’advertising per tenere traccia del percorso seguito dagli utenti durante la visita di più siti Internet.

Mozilla Firefox consente di visualizzare il contenuto di tutti i cookie memorizzati sul personal computer accedendo al menù Strumenti, cliccando su Opzioni, sulla scheda Privacy quindi sul link Rimuovere i singoli cookie.

Nel caso di Internet Explorer è possibile ricorrere invece, per esempio, al software gratuito IECookiesView prelevabile cliccando qui.
In Google Chrome i cookie correntemente memorizzati sul sistema sono consultabili cliccando sul pulsante a forma di chiave inglese della barra degli strumenti, sulla voce Opzioni, sulla scheda Roba da smanettoni, sul pulsante Impostazioni contenuti ed infine su Mostra cookie e altri dati dei siti.
Per concludere, Opera consente di accedere alla gestione dei cookie memorizzati cliccando sul pulsante Menu in alto, su Impostazioni, Preferenze, sulla scheda Avanzate ed infine su Gestione dei cookie.

I cookie possono essere utilizzati per tracciare la navigazione su siti terzi solamente nel caso in cui gli stessi siti terzi utilizzino contenuti ospitati sul server web che ha richiesto la creazione del cookie. I cookie di tipo tradizionale, come quelli sin qui presentati, possono essere agevolmente eliminati dal browser accedendo alla finestra delle opzioni e cliccando sul pulsante che consente l’eliminazione dei file temporanea, della cronologia o della cache.

I classici cookie non rappresentano quindi una minaccia e possono essere agevolmente gestiti e rimossi. Va liberato quindi il campo da “falsi miti” che, purtroppo, circolano ancora oggi e che associano i cookie a componenti dannosi (sono semplici file testuali che non possono contenere codice eseguibile), alla comparsa di finestre popup ed all’attività degli spammer.

“Evercookie”: il cookie “immortale”. Che cos’è e perché può comportare rischi per la privacy

Da qualche tempo, invece, si spesso iniziato a parlare di quello che è stato battezzato “evercookie“. Più che di un singolo cookie, l'”evercookie” può essere pensato come un meccanismo studiato per individuare in modo univoco un utente facendo leva sull’impiego di molteplici tecniche differenti (Flash cookies e vari sistemi per la memorizzazione dei dati utilizzando le specifiche HTML5).
Il merito di aver portato la pubblica attenzione su un tema delicato come quello degli “evercookie” spetta a Samy Kamkar, un ricercatore conosciuto per aver sviluppato un worm per MySpace nel 2005. Kamkar ha spiegato di aver messo a punto il suo esempio di “evercookie” nel giro di poche ore con l’intento di stimolare gli utenti a riflettere sulle nuove problematiche che il web e la complessità delle tecnologie oggi utilizzate portano con sé, soprattutto in materia di privacy.

Kamkar ha addirittura realizzato un’API JavaScript capace di automatizzare e semplificare la generazione di un “evercookie“. Da cosa deriva, però, il nome affibbiato alla nuova creatura?
L'”evercookie” può essere pensato come un “cookie immortale“. L’espressione ha un’importanze valenza: fa riferimento al fatto che – diversamente rispetto ad un cookie tradizionale, che può essere agevolmente rimosso agendo, per esempio, sulla cache del browser – l’evercookie è difficoltoso da eliminarsi e mette in campo diversi espedienti per rendere più complessa la sua completa eliminazione. Sì, perché come i tentacoli di un mostro mitologico, anche l’evercookie è in grado di autorigenerarsi se almeno uno dei suoi componenti resta memorizzato sul sistema client dell’utente.

Il codice JavaScript messo a punto da Kamkar riesce a scrivere in diverse locazioni di memoria, utilizzando simultaneamente numerose tecniche. Se uno o più dati vengono cancellati, le informazioni che permettono di risalire in modo univoco al medesimo utente vengono recuperati attingendo alle risorse ancora disponibili sul sistema client. In particolare, l’API di Kamkar si appoggia, per la memorizzazione di un identificativo in grado di riconoscere l’utente, non solo ai Flash cookies ed ai cookie Silverlight, ma anche a tecniche quali “PNG caching” ed “history caching“. Nel primo caso, l’identificativo viene stivato in un file PNG creato appositamente che alcuni browser sono in grado di leggere usando l’elemento “canvas” di HTML5.
Con l'”history caching”, invece, quando la pagina viene visitata per la prima volta ricorrendo al browser, il sito web codifica l’identificativo in un URL richiamato poi in background. Lo stesso identificativo può essere ricostruito a partire dalla cronologia del browser durante le visite seguenti.
Per tutti i dettagli sui cookie Flash, suggeriamo di fare riferimento a questo nostro articolo di approfondimento.

E’ altamente probabile che un utente con competenze medie riesca a cancellare ogni volta tutte le componenti alle quale attinge l'”evercookie“. Lasciando sul sistema anche una di esse, lo stesso utente potrebbe essere riconosciuto ogniqualvolta dovesse visitare la stessa pagina web.
La semplice rimozione del contenuto della cache del browser (eliminazione dei file temporanei) e dei cookie non consente di mettersi alle spalle l'”evercookie” che dovesse essere stato eventualmente generato sul proprio sistema.

Ecco come eliminare definitivamente gli “evercookie”

Riassumiamo la procedura che permette di liberarsi di tutti gli elementi creati, sul sistema in uso, da parte dell'”evercookie“.

“).

Ovviamente la procedura va eseguita solamente se sul proprio sistema è stato installato Flash Player. La pagina web consente di eliminare rapidamente i Flash cookie senza dover visitare la cartella nella quale sono memorizzati (%appdata%\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ in Windows).

.

A questo punto per eliminare tutti i cookie Silverlight, è sufficiente selezionare la scheda Archiviazione applicazione quindi cliccare sul pulsante “Elimina tutto” premendo infine Sì.

E’ bene ricordare che se si agisce sui pulsanti “Elimina tutto“, sia nel caso di Flash che nel caso di Silverlight, alcuni siti web potrebbero non operare più nel modo atteso. Si potranno certamente continuare a visualizzare file video distribuiti sul web attraverso l’uso della tecnologia Flash o Silverlight ma, ad esempio, si perderanno le informazioni relative, ad esempio, agli “scores” ottenuti con il proprio videogioco preferito.

accertandosi che tutte le caselle sottostanti siano spuntate.

Gli utenti di Google Chrome possono eliminare la cache del browser facendo clic sul pulsante a forma di chiave inglese, nella barra degli strumenti, cliccando su Strumenti, Cancella dati di navigazione…, spuntando le varie voci presenti in finestra quindi cliccando sul pulsante Cancella dati di navigazione.

In Internet Explorer, bisogna cliccare sul menù Strumenti, Opzioni Internet, sulla scheda Generale quindi sul pulsante Elimina.

A questo punto è indispensabile chiudere e riaprire il browser web.

Samy Kamkar ha messo a punto una pagina dimostrativa che consente all’utente di prendere coscienza del problema “evercookie“.
Collegandosi con la pagina allestita dal ricercatore quindi cliccando sul pulsante Click to create an evercookie, la pagina web metterà in atto una serie di espedienti che porteranno alla generazione di un “evercookie” sul sistema dell’utente.

Ricaricando la medesima pagina, dopo qualche secondo di attesa, dovrebbe essere proposto un ID compreso tra 1 e 1000. Se si prova a cancellare la cache del browser, tornando sulla medesima pagina di test, verrà visualizzato – con buona probabilità – sempre il medesimo numero identificativo.
Nel caso in cui venisse visualizzato l’attributo “undefined“, l’operazione compiuta (cancellazione della cache) è sufficiente per mettersi al riparo da eventuali siti traccianti dal momento che sul sistema non è presente né Flash Player né Microsoft Silverlight.

Seguendo i quattro passi sopra illustrati, sarà possibile cancellare definitivamente tutte le componenti dell'”evercookie” di test. In questo modo, riaprendo il browser web e tornando a visitare la pagina predisposta da Kamkar dovrebbe essere esposta l’indicazione “undefinied” accanto a ciascuna delle voci indicate.

La dizione “Cookie found: uid = undefined” conferma il fatto che il sistema client non è più “riconoscibile” in modo univoco.