Chrome 140 nasconde l'indirizzo IP e blocca gli script, ma non ti protegge come pensi

Chrome 140 espande la modalità incognito con IP Hiding e Script Blocking per ridurre il tracciamento online. Tuttavia, la protezione è limitata ai domini della Masked Domain List, funziona solo con account Google e non garantisce certo l'anonimato.
Michele Nasi
Pubblicato il 5 set 2025
Chrome 140 nasconde l'indirizzo IP e blocca gli script, ma non ti protegge come pensi

Con la pubblicazione della versione stabile di Chrome 140, Google ha integrato nel suo browser Web due nuove funzionalità che si attivano all’occorrenza quando l’utente si serve della finestra di navigazione in incognito: IP Hiding e Script Blocking. Queste novità mirano a tutelare l’identità digitale e a ridurre le tecniche di tracciamento più sofisticate, come il fingerprinting, senza richiedere configurazioni aggiuntive da parte dell’utente.

IP Hiding nella modalità di navigazione in incognito: come funziona

La funzione di Chrome 140 (e versioni seguenti) capace di nascondere l’indirizzo IP reale dell’utente quando interagisce con contenuti di terze parti, come iframe o script incorporati nel corpo delle pagine Web utilizza sistema di proxy a due passaggi:

  • Primo proxy Google: vede solo l’IP dell’utente, ma non il dominio di destinazione.
  • Secondo proxy gestito su CDN esterna: conosce il dominio di destinazione, ma non l’IP reale.

Tutte le comunicazioni tra browser e proxy sono crittografate con il protocollo HTTPS, garantendo massima sicurezza. La protezione si applica esclusivamente a contenuti di terze parti presenti nella Masked Domain List (MDL) e richiede che l’utente sia autenticato con un account Google durante la sessione di navigazione in incognito.

Masked Domain List (MDL): cos’è

La MDL è un elenco pubblico di domini gestito da Google insieme a Disconnect.me, aggiornato periodicamente. Google ha insomma la sua blacklist di domini, sottoposti eventualmente a restrizioni nella modalità incognito di Chrome. La lista è consultabile su GitHub: è così possibile rendersi conto di quali domini sono presenti nella MDL.

Disconnect.me è una società specializzata nella protezione della privacy online, fondata nel 2011 da Brian Kennish, un ex ingegnere Google e DoubleClick, e da Casey Oppenheim, un attivista per i diritti dei consumatori e della privacy. Ha sede a San Francisco, California, e si prefigge di migliorare la trasparenza e il controllo degli utenti sui propri dati personali online. La società sviluppa software e strumenti per bloccare invisibili tracker online che raccolgono dati personali degli utenti, offrendo protezione contro oltre 2000 siti di terze parti che effettuano attività di tracciamento.

Script Blocking: contrastare il fingerprinting in incognito

Come accennato in apertura, oltre all’IP Hiding Chrome 140 introduce Script Blocking, un meccanismo specifico per ridurre il fingerprinting in modalità incognito.

Il fingerprinting è una tecnica di tracciamento avanzata che sfrutta informazioni dettagliate del dispositivo e del browser (risoluzione dello schermo, set di font, plugin, caratteristiche hardware, timing di esecuzione del codice) per creare un’identità digitale unica. Anche senza cookie, permette di riconoscere uno stesso utenti su siti diversi, rappresentando una delle minacce più invasive per la privacy online.

Attingendo sempre al contenuto della MDL, la funzione di blocco degli script aggiunta a Chrome impedisce (solo nella modalità di navigazione in incognito) il caricamento di script provenienti da domini esterni alla pagina visitata. Monitorando l’uso di API JavaScript note per il fingerprinting (canvas, WebGL, performance timing, enumerazione font/hardware) fornisce un livello di protezione aggiuntivo.

Criticità e limiti del sistema

Le funzionalità IP Hiding e Script Blocking integrate in Google Chrome a partire dalla release stabile 140, a nostro avviso presentano alcune limitazioni e criticità importanti da considerare.

  • Accesso limitato alla Masked Domain List (MDL): Google non permette agli utenti di visualizzare o modificare la MDL direttamente dal browser. Questo perché la lista è gestita centralmente e aggiornata automaticamente per garantire la coerenza dei criteri di protezione e prevenire abusi. L’accesso pubblico avviene solo tramite GitHub, ma il browser non espone informazioni in tempo reale sui domini mascherati durante la navigazione.
  • Impossibilità di aggiungere o modificare domini: Gli utenti e i webmaster non possono inserire nuovi domini nella lista né modificare quelli esistenti. L’inclusione dei domini dipende esclusivamente dai criteri tecnici e dalle analisi automatizzate di Google e Disconnect.me, che identificano i rischi di tracciamento cross-site o fingerprinting. Un approccio centralizzato che limita la flessibilità.
  • Limitazione alla sola modalità incognito: La protezione funziona esclusivamente in modalità di navigazione privata. Di conseguenza, gli utenti non hanno difesa automatica contro il tracciamento tramite IP o fingerprinting durante la navigazione normale, lasciando scoperti molti scenari comuni di tracciamento cross-site.
  • Possibili falsi positivi e mancate coperture: Alcuni script legittimi potrebbero essere bloccati erroneamente se utilizzano API simili a quelle impiegate per il fingerprinting, mentre nuove tecniche di tracciamento potrebbero non essere immediatamente rilevate, riducendo temporaneamente l’efficacia della protezione.
  • Dipendenza dall’autenticazione con account Google: La funzionalità richiede che l’utente sia loggato con un account Google. Anche se i dati non vengono collegati al singolo utente grazie a meccanismi crittografici, questa condizione introduce una dipendenza dal sistema Google, limitando la privacy “indipendente” dell’utente.

IP Hiding e Script Blocking snaturano il concetto di navigazione in incognito

La modalità di navigazione in incognito è nata con uno scopo molto specifico: evitare che il browser salvi dati locali legati alla sessione di navigazione, come cronologia, cookie, cache e dati dei form. Non è stata concepita come uno strumento per proteggere l’utente dalla raccolta di dati da parte di siti Web o terze parti online.

Le nuove funzionalità di Chrome 140, invece, estendono la protezione della privacy oltre lo scopo originario della modalità incognito: mascherano l’IP e limitano l’uso di API JavaScript per il fingerprinting. Significa che il browser assume un ruolo attivo nel prevenire il tracciamento online, una funzione che va oltre la semplice protezione dei dati locali.

Di fatto, questo approccio può creare confusione negli utenti, perché la modalità incognito può essere percepita come uno strumento universale di anonimato online, quando in realtà:

  1. La navigazione normale resta vulnerabile al tracciamento tramite IP o fingerprinting.
  2. La protezione è limitata ai domini della Masked Domain List (MDL) e solo in contesti di terze parti.
  3. L’utente deve essere autenticato con un account Google, introducendo una dipendenza dal sistema centrale di gestione dei dati di Google.

In sintesi, Chrome 140 estende le funzioni della modalità incognito, ma non trasforma la navigazione in incognito in un vero strumento di anonimato o protezione completa online: il concetto originario di sessione privata rimane legato principalmente al non salvare dati sul dispositivo locale in uso.

Ti consigliamo anche

Mozilla estende il supporto di Firefox ESR 115 su vecchi sistemi operativi fino a marzo 2026
Browser

Mozilla estende il supporto di Firefox ESR 115 su vecchi sistemi operativi fino a marzo 2026
Atlassian compra The Browser Company: il browser AI Dia potrebbe cambiare il lavoro online
Business

Atlassian compra The Browser Company: il browser AI Dia potrebbe cambiare il lavoro online
Vivaldi contro corrente: l'AI nei browser ucciderà internet
Browser

Vivaldi contro corrente: l'AI nei browser ucciderà internet
Claude per Chrome: l'estensione porta l'AI di Anthropic sul browser
Browser

Claude per Chrome: l'estensione porta l'AI di Anthropic sul browser
Link copiato negli appunti