Il supercookie HSTS traccia anche in incognito

È cosa nota: la modalità per la navigazione in incognito supportata dai vari browser web consente di accedere ai vari siti senza lasciare alcuna traccia sul sistema in uso. Tutto il materiale scaricato dal browser dai vari siti web, infatti, non viene memorizzato sul sistema (nella directory contenente la cache) ma viene cancellato non appena si chiudono le schede utilizzate per la navigazione in incognito.
Anche eventuali cookie che dovessero essere creati nella modalità di navigazione in incognito vengono puntualmente eliminati.

Nell’articolo Che cosa sono i cookie: la verità su come gestirli, rimuoverli e difendere la privacy sul web, abbiamo visto cosa sono i cookie e le loro differenti tipologie.
Di recente in Italia si è sentito anche il bisogno di approvare una regolamentazione, peraltro piuttosto stringente e secondo noi ancora suscettibile di diverse modifiche, per regolamentare l’utilizzo dei cookie sul web: Regolamento cookie: obblighi per chi gestisce un sito.

Il supercookie che traccia l’utente anche quando naviga in incognito

HSTS (HTTP Strict Transport Security) è un meccanismo di sicurezza, recentemente introdotto, che consente ai siti web di dichiarare che tutte le successive interazioni con il web server avverranno unicamente utilizzando una connessione sicura HTTPS. La politica applicata dal server web viene comunicata al client (e quindi al browser dell’utente) attraverso un’intestazione aggiuntiva che viene fornita in risposta alla richiesta di connessione.

Sam Greenhalgh, ricercatore esperto in problematiche legate alla sicurezza informatica, ha però pubblicato del codice dimostrativo (proof-of-concept) che ben evidenzia come un meccanismo pensato per migliorare la sicurezza possa essere sfruttato per tracciare l’utente e monitorare le sue abitudini ed i suoi interessi.
In questa pagina Greenhalgh spiega che grazie al supporto delle specifiche HSTS da parte dei browser più recenti, è di fatto possibile impiantare sul sistema di ogni utente un cookie capace di resistere anche quando l’utente passa alla navigazione in incognito.

Visitando la pagina messa a punto da Greenhalgh, infatti, sarà visualizzato un breve codice alfanumerico. Se, successivamente, si prova a visitare la stessa pagina dalla modalità per la navigazione in incognito, il contenuto del “supercookie” sarà nuovamente letto.
A peggiorare la situazione, il fatto che quanto memorizzato nel cookie generato attraverso l’utilizzo di HSTS può essere letto anche da parte di altre pagine web mettendo così nelle mani di chiunque un sistema per tracciare efficacemente qualunque utente durante i suoi “spostamenti online”.

Che qualcuno potesse pensare ad un simile utilizzo di HSTS era già stato ipotizzato in fase di presentazione delle prime bozze del meccanismo di protezione. Greenhalgh è comunque ad oggi il primo ricercatore ad aver mostrato, in pratica, la possibilità di generare un supercookie.

Le ultime versioni di Google Chrome e di Apple Safari sono vulnerabili mentre Firefox (a partire dalla release 34.0.5) non lo è più in quanto non permette ai cookie creati nella modalità normale di continuare ad esistere anche nella modalità di navigazione in incognito. Su Internet Explorer, invece, il proof-of-concept semplicemente non funziona in quanto il browser Microsoft non supporta HSTS.
Solo l’eliminazione di tutti i cookie nella modalità di navigazione normale consente di sbarazzarsi del supercookie HSTS.