I dati che i browser web trasmettono agli sviluppatori

Il professor Douglas J. Leith (Trinity College di Dublino, Irlanda) ha pubblicato uno studio sul comportamento dei vari browser web indicando quali dati relativi alle attività di navigazione degli utenti vengono automaticamente condivisi con i server dei produttori.

Chrome, Firefox e Safari condividono le informazioni sulle pagine web visitate con i server degli sviluppatori. In tutti e tre i casi i dati fluiscono attraverso la funzionalià di autocompletamento della ricerca: essa trasmette gli indirizzi in tempo reale mentre vengono digitati.

In Chrome un identificatore persistente viene inviato insieme con gli indirizzi web permettendo di collegarli tra loro e “fotografare” eventualmente l’attività di un utente online.

Firefox include nelle informazioni di telemetria degli identificativi che possono essere potenzialmente utilizzati per collegare le varie attività svolte nel tempo dagli stessi soggetti. La telemetria può essere disabilitata ma viene evidenziato che essa risulta attivata per impostazione predefinita nel browser di Mozilla: vedere Come disattivare la telemetria in Firefox.

Nel suo studio, consultabile integralmente a questo indirizzo, Leith spiega che Safari imposta per default una pagina che può potenzialmente trasferire informazioni a terze parti e, allo stesso tempo, precaricare pagine nella cache del browser contenenti identificativi univoci. Sebbene Safari non effettui connessioni aggiuntive e non imposti identificativi persistenti, Leith osserva che i processi correlati ad iCloud stabiliscono comunque connessioni eventualmente utilizzabili per individuare singolarmente ciascun utente.

Il nuovo Microsoft Edge basato su Chromium sfrutta identificativi persistenti che possono essere usati per collegare le richieste di ciascun utente. Tali informazioni vengono trasmesse ai server dell’azienda di Redmond insieme con l’indirizzo IP e la posizione geografica del dispositivo client. Edge invia anche l’UUID del device usato dall’utente (trattasi di un’informazione che rimane inalterata nel corso del tempo).

Ogni URL digitato nella barra degli indirizzi di Edge viene condiviso (in formato JSON) con Bing e con altri servizi Microsoft come SmartScreen.
Microsoft, purtroppo, non utilizza nemmeno una tecnica simile a quella adottata da Google nell’ambito del servizio Safe Browsing (l’elenco dei siti dannosi già noti viene regolarmente scaricato e salvato in locale).
Nel caso in cui dei dati dovessero essere inviati ai server di Google, Chrome invia solo una sorta di “impronta” dell’URL da controllare (hash) che può essere sì utilizzata per tracciare il comportamento di navigazione di uno stesso utente ma che non permette di risalire immediatamente alla pagina web visitata.

L’UUID inviato dal browser Microsoft, inoltre, è un identificativo hardware unico, che rimane costante nel tempo e che non può essere facilmente modificato o cancellato.