Che cos'è il Browser Fingerprinting e come evitarlo?

Come fare, Aug-17-20215 minuti di lettura

Quando si naviga in Internet, la privacy dovrebbe essere la preoccupazione principale. Come già sapete, i siti web utilizzano diversi meccanismi per tracciare la vostra identità online; tra questi, la registrazione del vostro indirizzo IP, la memorizzazione dei cookie sul vostro browser, l'HTML 5 Canvas, solo per citarne alcuni. È possibile mascherare facilmente la propria identità online utilizzando dei proxy o cancellando i cookie sul browser.

Quando si naviga in Internet, la privacy dovrebbe essere la preoccupazione principale. Come già sapete, i siti web utilizzano vari meccanismi per tracciare la vostra identità online; tra questi, la registrazione del vostro indirizzo IP, la memorizzazione dei cookie sul vostro browser, l'HTML 5 Canvas, per citarne alcuni.

Potete facilmente mascherare la vostra identità online utilizzando dei proxy o cancellando i cookie dal vostro browser. Tuttavia, sapevate che esistono altri modi per tenervi d'occhio, impossibili da prevenire in primo luogo? Una di queste tecniche, di cui parleremo in questo articolo, è il fingerprinting del browser e cosa potete fare per evitarlo.

Quindi, senza ulteriori indugi, iniziamo.

Che cos'è il fingerprinting del browser?

Ogni volta che ci si connette a un sito web, il suo server raccoglie informazioni sul vostro browser per identificarvi. Ovviamente, il fingerprinting non significa che il server ricevente vi identificherà in base al vostro nome o al vostro indirizzo IP. Utilizzerebbe invece le informazioni del browser e le impostazioni del dispositivo.

In generale, alcune di queste impostazioni includono il tipo e la versione del browser, le informazioni sul sistema operativo, i plugin attivi, la risoluzione dello schermo, il fuso orario e varie informazioni di intestazione di cui parleremo più avanti. Inoltre, i browser possono inviare informazioni sulla cronologia di navigazione.

Quali informazioni raccoglie un sito web per il fingerprinting del browser?

Intestazioni

Quando ci si collega a un sito web, il browser invia diverse intestazioni al server ricevente. Esse sono:

  • Intestazione della connessione: determina se la connessione a una pagina web è aperta o chiusa.
  • Intestazione User-agent: questa intestazione invia le informazioni sul browser e sul sistema operativo in uso. Ulteriori dettagli sull'user-agent sono disponibili qui.
  • Intestazione della lingua: la lingua utilizzata dal sistema informatico.
  • Intestazione della codifica del contenuto: elenca il tipo di compressione gestito dal sistema informatico.
  • Intestazione Accept: fornisce al sito web ricevente il tipo di contenuto che il browser deve visualizzare.
  • Intestazione Cache-control - fornisce istruzioni al server ricevente su come i dati devono essere memorizzati nella cache sul front-end e sul back-end.
  • Referrer header - questa intestazione indica al sito web ricevente da quale sito web è stato cliccato il link.
  • Upgrade insecure header - fornisce dettagli sul fatto che il browser stia richiedendo una connessione crittografata o meno

A prima vista, quindi, i dati sopra riportati possono sembrare generici, in quanto non sembrano identificare in modo univoco una persona o un browser. Tuttavia, secondo Panoptickclick, solo 1 su 286.777 condividerà la stessa impronta digitale con un altro utente. Come si può vedere dalle informazioni dell'intestazione di cui sopra, il vostro browser crea un'impronta digitale che vi identifica in modo univoco.

Informazioni aggiuntive sul browser

Alcune delle informazioni aggiuntive sul browser incluse nell'impronta digitale del browser includono:

L'ID di compilazione del browser: questo ID indica al sito web ricevente la versione del vostro browser. Tuttavia, se si utilizza un browser sicuro, è possibile mascherare queste informazioni.

I cookie: Sono piccoli pacchetti di dati testuali che identificano in modo univoco l'utente quando è connesso a una rete di computer. Per ulteriori informazioni sui cookie, leggere qui.

Preferenze pubblicitarie: Le preferenze per gli annunci, come "Do Not Track", indicano al sito web ricevente di non tracciare le informazioni dell'utente. Quando decidete di attivarle, il vostro browser può inviare le vostre informazioni a società di analisi, siti web, fornitori di plugin e altri servizi web che visitate durante la navigazione in Internet.

Ad Blocker: il browser passerà le informazioni se l'Ad Blocker è attivo o meno.

Immagine su tela HTML 5: Per i siti web codificati con HTML 5, gli elementi canvas generano dati come la dimensione dei caratteri e il colore dello sfondo dei browser dei visitatori.

Ora vi chiederete perché i siti web raccolgono l'impronta digitale del browser. La prossima sezione si occuperà proprio di questo.

Perché i siti web raccolgono l'impronta digitale del browser?

Non dovete temere perché con tutte le informazioni di cui sopra è impossibile conoscere il vostro nome e indirizzo. Tuttavia, queste impronte digitali del browser sono di grande valore per le aziende quando pubblicizzano i loro prodotti a diversi segmenti di mercato. Dopotutto, gli inserzionisti e i marketer internazionali amano questi dati di impronta digitale e farebbero di tutto per metterci le mani sopra.

Sulla base dei vostri dati, è più facile per gli operatori di marketing e gli inserzionisti rivolgersi a potenziali clienti in una specifica area geografica, ad esempio. Se da un lato il rilevamento delle impronte digitali può essere un inconveniente, dall'altro presenta anche degli aspetti positivi, come si vedrà nella prossima sezione.

Perché il fingerprinting del browser è essenziale in determinate circostanze?

Ora avete acquisito le conoscenze fondamentali sul fingerprinting del browser e sul suo utilizzo. La sezione seguente fornisce una panoramica del motivo per cui è necessario il fingerprinting del browser in determinate situazioni.

Aiuta a prevenire le frodi finanziarie online

Ad esempio, l'impronta digitale del browser aiuta a determinare se un conto bancario è stato accesso più volte da più posizioni/browser nel web banking in un breve periodo. Inoltre, aiuta a determinare se un hacker ha violato le sessioni del browser.

L'identificazione delle sessioni di browser violate aiuterebbe a rintracciare gli hacker che rubano le credenziali di accesso e i numeri delle carte di credito. In definitiva, se i truffatori cambiano dispositivo con diversi tentativi di accesso, gli esperti di sicurezza potrebbero individuarli facilmente.

Previene le frodi nell'e-commerce

La maggior parte delle transazioni di commercio elettronico avviene sotto forma di bonifici bancari. Allo stesso tempo, altre transazioni di commercio elettronico avvengono da dispositivi prevedibili. Pertanto, quando si verifica un cambiamento improvviso della fonte, gli esperti di sicurezza possono rilevare le frodi senza alcun dubbio.

Quali sono gli svantaggi del fingerprinting del browser?

Violazione delle attuali norme sulla privacy: un'ampia percentuale di utenti non è consapevole della quantità di dati trasferiti per il rilevamento delle impronte del browser. Inoltre, non è chiaro in quali mani finiscano questi dati. Come scoprirete nella prossima sezione, le impronte digitali del browser non possono essere eliminate rapidamente, proprio come i cookie.

Siti Web dannosi - La maggior parte dei siti Web ben noti può utilizzare il marketing tradizionale rispetto al fingerprinting del browser per commercializzare i propri prodotti. Pertanto, la maggior parte dei siti web che raccolgono le impronte digitali del browser possono essere classificati come siti spam dannosi. Esiste quindi il rischio che informazioni essenziali finiscano nelle mani sbagliate.

Come si può evitare il fingerprinting del browser?

Finora avete compreso il tipo di dati che un browser utilizza per il fingerprinting e i suoi pro e contro. Ora è giunto il momento di affrontare un fattore di fondamentale importanza: come fermarlo. Tuffiamoci, gente.

Disattivare JavaScript

JavaScript è un linguaggio di scripting front-end che funziona a livello di browser. È utilizzato principalmente per migliorare l'esperienza dell'utente e per la codifica di scenari specifici del web design reattivo. Quando lo si disattiva, il browser non può inviare informazioni su plugin, estensioni, font e non può installare cookie nel browser.

Tuttavia, la disattivazione di JavaScript potrebbe non essere una soluzione praticabile per alcuni siti web che dipendono fortemente da JavaScript. Al contrario, altri siti web possono funzionare benissimo senza. Tuttavia, esiste una soluzione migliore, di cui parleremo qui di seguito, per non compromettere l'esperienza dell'utente.

Gestire le estensioni e i plugin del browser

Sebbene le estensioni e i plugin del browser siano un'ottima risorsa per la vostra esperienza di navigazione, possono anche ostacolare la vostra privacy. Infatti, come già detto, possono tracciare l'utente.

Più estensioni e impronte digitali del browser sono presenti, più l'impronta digitale del browser sarà unica. Questo è uno scenario in cui non si vuole cadere. Pertanto, è necessario disinstallare le estensioni e i plugin non necessari.

Inoltre, è necessario fare attenzione al fatto che la semplice disinstallazione dei plugin non vi aiuterà a evitare di essere rintracciati. Questo perché sono ancora presenti sul vostro dispositivo. Un'opzione migliore è quindi quella di utilizzare le estensioni per la disabilitazione di JavaScript.

Utilizzare una VPN

L'utilizzo di una rete privata virtuale (VPN) crea una connessione sicura tra il dispositivo e la VPN. Successivamente, la VPN si connette al sito Web di destinazione inoltrando tutto il traffico per conto dell'utente. Durante l'intero processo, la comunicazione passa attraverso un canale crittografato. Questo garantisce che gli hacker non possano intercettare i vostri messaggi e che il vostro indirizzo IP venga mascherato.

Nonostante questi mezzi sicuri, la VPN non è ancora in grado di disabilitare JavaScript e l'invio di informazioni di intestazione. Quindi il browser può ancora creare un'impronta digitale unica, escludendo l'indirizzo IP dall'equazione.

Utilizzare la modalità Incognito

Un altro modo per mascherare la propria identità è quello di utilizzare la modalità Incognito. In questo modo, le intestazioni e il profilo del browser verrebbero impostati sulle impostazioni predefinite, rendendo difficile il tracciamento delle informazioni. 

Per determinare se funziona correttamente, è possibile verificare con questo browser fingerprinting checker quando il browser è impostato sulla modalità Incognito.

Utilizzare il browser Tor

Sapevate che il browser Tor non memorizza alcuna informazione sul browser e cancella automaticamente i cookie? Inoltre, il browser Tor blocca in modo aggressivo il codice JavaScript sui siti web, evita l'ad-tracking di terze parti, disabilita il fuso orario e le preferenze di lingua.

Senza le impostazioni di cui sopra, sarebbe più difficile creare un'impronta digitale del proprio browser. Inoltre, Tor afferma nelle condizioni di creazione delle impronte digitali che, per impostazione predefinita, tutti i suoi utenti saranno impostati come "uguali a tutti gli utenti" durante la creazione dell'impronta digitale.

Installare un software anti-malware

La presenza di un software anti-malware sul computer non solo lo protegge da azioni dannose. Ma anche dall'oscuramento dell'impronta digitale del browser. È necessario assicurarsi che sia sempre aggiornato con le ultime minacce presenti nel sistema.

Nella maggior parte dei casi, l'anti-malware blocca gli annunci, le barre degli strumenti dannose e irritanti e altri codici dannosi o spyware che potrebbero operare in background.

L'impronta digitale del browser è direttamente collegata al software e agli strumenti sopra menzionati. Di conseguenza, è essenziale avere un browser pulito ed eliminare le minacce con uno strumento anti-malware. 

Altre tecniche per evitare il fingerprinting del browser

Nella sezione precedente si è visto che la disabilitazione di JavaScript impedisce al browser di rilevare determinate informazioni. Tuttavia, ciò comprometterebbe l'esperienza dell'utente, in particolare per i siti web che dipendono fortemente da JavaScript.

Per sostenere l'esperienza dell'utente, è possibile utilizzare una tecnica particolare chiamata spoofing, di cui parleremo qui di seguito:

Spoofing dell'agente utente

Lo spoofing dell'agente utente consiste nel falsificare la stringa dell'agente utente che il browser invia al server Web ricevente. Forse non è la tecnica più innovativa, ma è sicuramente utile se non si vuole rivelare la propria identità.

Il modo più efficace per falsificare un user-agent è quello di utilizzare user-agent a rotazione; ciò implica che si avrà una stringa di user-agent diversa dopo uno specifico intervallo di tempo. Questo metodo è migliore rispetto all'uso di user agent statici.

Un esempio importante di agente utente rotante è il browser Chameleon.

Spoofing dell'API di Canvas

Canvas è un tag HTML5 che inizialmente era stato pensato per disegnare grafici sulle pagine web. Ma i vari browser lo interpretano in modo diverso. Come accennato in precedenza, HTML5 Canvas genera dati come il colore dello sfondo e la dimensione del carattere del browser di un visitatore, che serve come impronta digitale unica per ogni visitatore. Quindi, a differenza dei cookie, non sarà possibile cancellare i dati del canvas in quanto non vengono memorizzati sul computer dell'utente.

Pertanto, l'unico modo per eliminare il Canvas dall'equazione delle impronte digitali è utilizzare un CanvasBlocker. Esso blocca le chiamate all'API Canvas.

Macchina virtuale

La presenza di una macchina virtuale (VM) è un altro metodo che porta a un'impronta digitale del browser falsa. Quando si utilizza una macchina virtuale per navigare in Internet, viene generata l'impronta digitale del browser della macchina virtuale. Questa impronta digitale del browser sarà diversa da quella del browser reale. Alcuni dei principali esempi di macchine virtuali sono Oracle VM Virtualbox e Parallel Desktop, tra gli altri.

Conclusione

Questo articolo vi ha fornito una panoramica completa su cosa sia il fingerprinting del browser e su come sia possibile evitarlo. Sebbene gli utenti siano generalmente d'accordo sul fatto che il fingerprinting del browser sia dannoso e, in alcune situazioni, non etico, non ci sono segnali che indichino una sua prossima cessazione.

Pertanto, è necessario impiegare alcuni dei metodi menzionati in questo articolo per evitare che le informazioni relative all'impronta digitale del browser finiscano nelle mani sbagliate. Poiché il fingerprinting del browser ha anche dei pro, è meglio scegliere un approccio equilibrato alle proprie esigenze.