Quali siti avete visitato in passato: chiunque può stabilirlo

Un gruppo di accademici statunitensi individua nuove strategie che consentono di stabilire se un qualsiasi utente abbia già visitato una lista di siti web precompilata. Facile costruire, in pochi secondi, un profilo basato sugli interessi e le abitudini di un individuo. Ecco come funziona l'attacco.
Michele Nasi
Pubblicato il 5 nov 2018
Quali siti avete visitato in passato: chiunque può stabilirlo

In passato gli sviluppatori di browser hanno risolto diverse lacune che permettevano a un’applicazione web residente su server remoto di stabilire l’elenco dei siti precedentemente visitati da uno stesso utente.
Utilizzando i fogli di stile (CSS) un’applicazione web poteva verificare il comportamento del selettore :visited per verificare se un sito fosse già stato consultato dall’utente. È infatti noto che i link già visitati vengono mostrati con un colore diverso all’interno delle pagine web: controllando il comportamento lato CSS di un numero di URL inseriti in una lista era possibile stabilire se dallo stesso client ciascun sito fosse già stato raggiunto.

Mentre gli espedienti un tempo utilizzabili non possono essere oggi sfruttati, un team di esperti formato da alcuni accademici delle università di Stanford e San Diego hanno scoperto alcune nuove vulnerabilità che in molti casi accomunano Chrome, Firefox, Edge e Internet Explorer.

Come si può verificare in tabella, in alcuni casi viene fatto leva sulla funzionalità CSS Paint API, in altre sulle trasformazioni 3D sempre a livello di CSS, in altre ancora si sfruttano immagini SVG o cache di Chrome per verificare se un certo codice JavaScript fosse stato già caricato.

Stando a quanto si legge nel testo completo della ricerca appena pubblicata, una pagina web può verificare 6.000 URL al secondo e controllare così, in brevissimo tempo, se altri siti web fossero stati oggetto visita.
Si tratta di un espediente utilissimo ed estremamente efficace per stabilire, durante una normale sessione di navigazione quali sono le abitudini, gli interessi e le preferenze di uno stesso utente.
Esente da qualunque problema Tor Browser che già integra il codice per difendersi dagli attacchi come quello descritto: Tor Browser, cos’è e come funziona la nuova versione del programma.

Una dimostrazione che sfrutta invece HSTS (HTTP Strict Transport Security) e che non funziona perfettamente se l’utente attiva HTTPS Everywhere risale a un paio di anni fa e anche oggi sembra aver successo (con Chrome/Chromium). Portandosi in questa pagina e cliccando sul pulsante Test my browser ci si accorgerà di come, dopo pochi secondi, nella colonna di sinistra comincino a comparire gli indirizzi dei siti web visitati in passato, IlSoftware.it compreso.

Ti consigliamo anche

Compilare codice Python in WebAssembly: come fare e qual è l'utilità
Sviluppo

Compilare codice Python in WebAssembly: come fare e qual è l'utilità
Norton Private Browser: sicurezza e funzionalità
Offerte

Norton Private Browser: sicurezza e funzionalità
Differenze tra Edge e gli altri browser dal punto di vista degli sviluppatori
Browser

Differenze tra Edge e gli altri browser dal punto di vista degli sviluppatori
Il motore di ricerca green Ecosia lancia un nuovo browser
Browser

Il motore di ricerca green Ecosia lancia un nuovo browser
Link copiato negli appunti