Cookies: come funzionano le protezioni di Mozilla e Google

Gli editori online che come noi sostengono le proprie attività senza chiedere un centesimo ai lettori utilizzano l’advertising per autofinanziarsi. La maggior parte dei circuiti pubblicitari utilizza i cookie, piccoli file di testo che vengono generati sui dispositivi degli utenti, per tracciare le visite sui siti Web che contengono lo stesso codice per la gestione dell’advertising.

Il legislatore europeo ha pensato di dover regolamentare la questione decidendo però di non intervenire né sui circuiti pubblicitari né sugli sviluppatori di browser Web: ad attivarsi per bloccare i cookie di terza parte è l'”ultima ruota del carro” ovvero i gestori di siti Web, anche quelli amatoriali e di piccole dimensioni.

Registriamo ad oggi un’attenzione sproporzionata sui cookie quando dalla notte dei tempi il browser contiene gli strumenti per rimuoverli completamente, anche all’atto della chiusura del programma. Abbiamo visto come cancellare la cronologia del browser in modo completo in modo da non lasciare sul dispositivo alcuna traccia della navigazione online.
Per non parlare della modalità di navigazione in incognito che consente di avviare una nuova sessione di navigazione cancellando tutti i dati, cookie compresi, alla chiusura della finestra.

Troppa attenzione sui cookie, dicevamo, quando esistono modalità subdole per tracciare le attività online degli utenti senza rendere palese l’utilizzo di queste stesse tecniche (i.e. server-side fingerprinting).
Per non parlare del far west in ambito “mobile” con centinaia di app di utilizzo comune che integrano componenti traccianti (spesso al limite dello spyware) e che fanno razzìa dei dati degli utenti a fronte di policy sulla privacy inadeguate o completamente assenti. Avevamo visto come bloccare i tracker Android.

Il risultato è che ad oggi i soggetti più responsabili si sono scrupolosamente adeguati ai provvedimenti normativi mentre molti continuano a operare in spregio delle regole non adeguandosi alle disposizioni o usando tecniche di fingerprinting avanzate difficilmente smascherabili lato client.

Total Cookie Protection di Mozilla Firefox e CHIPS di Google

Ad oggi da più parti si sta guardando verso soluzioni cookieless ma il fatto è che gli editori sono ancora costretti a complicati e costosi equilibrismi per continuare a operare nel rispetto del quadro normativo.

Google stessa ha dapprima dichiarato guerra ai cookie di terza parte per poi rivedere parzialmente le sue posizioni.
Ha infine di recente presentato Google Topics un po’ a voler ribadire la centralità del browser Web.

Mozilla ha fatto presente di aver attivato per impostazione predefinita la sua funzione Total Cookie Protection nelle ultime versioni di Firefox. Con Total Cookie Protection viene introdotto il concetto di cookie jar: ogni sito Web che si visita dispone di un “vasetto” che ospita i cookie via via generati.
Il contenuto del vasetto può essere controllato solo da parte del sito Web in corso di visita e dal codice caricato in pagina: non è consentito ad altri siti Web, anche in un secondo tempo, di accedere al contenuto di un cookie jar che riporta l’etichetta di un sito Web diverso.

Il funzionamento è riassunto in modo molto efficace nell’immagine che Mozilla ha pubblicato in una nota per presentare Total Cookie Protection.

Introdotta per la prima volta con il rilascio di Firefox 86 nel febbraio 2021, Total Cookie Protection veniva attivata solo nelle finestre per la navigazione o quando gli utenti abilitavano manualmente la modalità che offre maggiore privacy nelle impostazioni del browser. Adesso viene abilitata per tutti gli utenti di Firefox.

Un approccio molto simile può essere attivato in Chrome, Chromium e in tutti i browser derivati, compreso Microsoft Edge.
Il meccanismo si chiama CHIPS (Cookies Having Independent Partitioned State) e consente appunto di separare i cookie di un sito Web da quelli creati sulle pagine di qualuque altro nome a dominio.
Il Chrome flag da utilizzare è presentato al paragrafo Try it out nella pagina riportata in precedenza.

Iniziative come Total Cookie Protection e CHIPS mettono in evidenza come gli strumenti per la gestione cookie siano già integrati nel browser.