22740 Letture

Gli "evercookie": una minaccia per la privacy? Ecco come eliminarli

Come noto, si chiamano cookie quei particolari frammenti di testo la cui creazione è spesso richiesta da parte di un'applicazione web. La generazione del cookie, richiesta al browser web dell'utente (qualunque prodotto egli stia impiegando), avviene sul sistema client ed il contenuto del cookie viene reinviato all'applicazione web ogniqualvolta l'utente si connetta al medesimo server remoto. I cookie consentono di annotare, sul sistema dell'utente che si collega ad un sito web, alcune informazioni successivamente utilizzabili, ad esempio, per evitare l'effettuazione di una nuova procedura di login.
Semplici file testuali, i cookie non rappresentano di per sé una minaccia: anzi, il loro impiego è di fondamentale importanza, per esempio, per il corretto funzionamento di negozi online (i prodotti inseriti nel "carrello della spesa" vengono temporaneamente memorizzati in un cookie), per conservare il login in un blog, un'area privata, un forum, una qualunque applicazione web che richieda qualsiasi forma di autenticazione. I cookie sono utilizzati anche da aziende attive nel campo dell'advertising per tenere traccia del percorso seguito dagli utenti durante la visita di più siti Internet.

Mozilla Firefox consente di visualizzare il contenuto di tutti i cookie memorizzati sul personal computer accedendo al menù Strumenti, cliccando su Opzioni, sulla scheda Privacy quindi sul link Rimuovere i singoli cookie.

Nel caso di Internet Explorer è possibile ricorrere invece, per esempio, al software gratuito IECookiesView prelevabile cliccando qui.
In Google Chrome i cookie correntemente memorizzati sul sistema sono consultabili cliccando sul pulsante a forma di chiave inglese della barra degli strumenti, sulla voce Opzioni, sulla scheda Roba da smanettoni, sul pulsante Impostazioni contenuti ed infine su Mostra cookie e altri dati dei siti.
Per concludere, Opera consente di accedere alla gestione dei cookie memorizzati cliccando sul pulsante Menu in alto, su Impostazioni, Preferenze, sulla scheda Avanzate ed infine su Gestione dei cookie.

I cookie possono essere utilizzati per tracciare la navigazione su siti terzi solamente nel caso in cui gli stessi siti terzi utilizzino contenuti ospitati sul server web che ha richiesto la creazione del cookie. I cookie di tipo tradizionale, come quelli sin qui presentati, possono essere agevolmente eliminati dal browser accedendo alla finestra delle opzioni e cliccando sul pulsante che consente l'eliminazione dei file temporanea, della cronologia o della cache.

I classici cookie non rappresentano quindi una minaccia e possono essere agevolmente gestiti e rimossi. Va liberato quindi il campo da "falsi miti" che, purtroppo, circolano ancora oggi e che associano i cookie a componenti dannosi (sono semplici file testuali che non possono contenere codice eseguibile), alla comparsa di finestre popup ed all'attività degli spammer.


"Evercookie": il cookie "immortale". Che cos'è e perché può comportare rischi per la privacy

Da qualche tempo, invece, si spesso iniziato a parlare di quello che è stato battezzato "evercookie". Più che di un singolo cookie, l'"evercookie" può essere pensato come un meccanismo studiato per individuare in modo univoco un utente facendo leva sull'impiego di molteplici tecniche differenti (Flash cookies e vari sistemi per la memorizzazione dei dati utilizzando le specifiche HTML5).
Il merito di aver portato la pubblica attenzione su un tema delicato come quello degli "evercookie" spetta a Samy Kamkar, un ricercatore conosciuto per aver sviluppato un worm per MySpace nel 2005. Kamkar ha spiegato di aver messo a punto il suo esempio di "evercookie" nel giro di poche ore con l'intento di stimolare gli utenti a riflettere sulle nuove problematiche che il web e la complessità delle tecnologie oggi utilizzate portano con sé, soprattutto in materia di privacy.

Kamkar ha addirittura realizzato un'API JavaScript capace di automatizzare e semplificare la generazione di un "evercookie". Da cosa deriva, però, il nome affibbiato alla nuova creatura?
L'"evercookie" può essere pensato come un "cookie immortale". L'espressione ha un'importanze valenza: fa riferimento al fatto che – diversamente rispetto ad un cookie tradizionale, che può essere agevolmente rimosso agendo, per esempio, sulla cache del browser – l'evercookie è difficoltoso da eliminarsi e mette in campo diversi espedienti per rendere più complessa la sua completa eliminazione. Sì, perché come i tentacoli di un mostro mitologico, anche l'evercookie è in grado di autorigenerarsi se almeno uno dei suoi componenti resta memorizzato sul sistema client dell'utente.

Il codice JavaScript messo a punto da Kamkar riesce a scrivere in diverse locazioni di memoria, utilizzando simultaneamente numerose tecniche. Se uno o più dati vengono cancellati, le informazioni che permettono di risalire in modo univoco al medesimo utente vengono recuperati attingendo alle risorse ancora disponibili sul sistema client. In particolare, l'API di Kamkar si appoggia, per la memorizzazione di un identificativo in grado di riconoscere l'utente, non solo ai Flash cookies ed ai cookie Silverlight, ma anche a tecniche quali "PNG caching" ed "history caching". Nel primo caso, l'identificativo viene stivato in un file PNG creato appositamente che alcuni browser sono in grado di leggere usando l'elemento "canvas" di HTML5.
Con l'"history caching", invece, quando la pagina viene visitata per la prima volta ricorrendo al browser, il sito web codifica l'identificativo in un URL richiamato poi in background. Lo stesso identificativo può essere ricostruito a partire dalla cronologia del browser durante le visite seguenti.
Per tutti i dettagli sui cookie Flash, suggeriamo di fare riferimento a questo nostro articolo di approfondimento.


E' altamente probabile che un utente con competenze medie riesca a cancellare ogni volta tutte le componenti alle quale attinge l'"evercookie". Lasciando sul sistema anche una di esse, lo stesso utente potrebbe essere riconosciuto ogniqualvolta dovesse visitare la stessa pagina web.
La semplice rimozione del contenuto della cache del browser (eliminazione dei file temporanei) e dei cookie non consente di mettersi alle spalle l'"evercookie" che dovesse essere stato eventualmente generato sul proprio sistema.


  1. Avatar
    giroca1
    23/11/2010 20:56:50
    vale anche per Adobe Flash Player 10.1 di Opera?
Gli