Evercookie e Nevercookie

Una ventina d’anni fa, o forse un po’ meno, agli albori di Internet, o meglio quando la rete iniziò a diventare uno strumento di massa, giravano inquietanti voci sulla capacità dei cookie di spiare i computer degli utenti. Secondo alcuni, la CIA tramite i cookie era addirittura in grado di scaricare in pochi secondi tutto il contenuto di un hard-disk (!). Al di là di queste sciocchezze e delle leggende metropolitane, i cookie hanno sempre turbato i sonni dei maniaci della privacy, a causa della loro vera o presunta capacità di tracciare le attività degli utenti in rete e determinare le loro preferenze.

I cookie sono informazioni memorizzate nel browser che servono per mantenere per esempio lo stato di una sessione, o ricordare altre informazioni dal lato del client. All’inizio i cookie prendevano forma di file memorizzati da qualche parte nelle cartelle di configurazione dei browser, eliminarli e gestirli era relativamente semplice. Questo fino all’arrivo di Evercookie.

Negli ultimi anni la tecnologia web ha fatto passi da gigante. Le applicazioni sono diventate sempre più complesse, e di fianco alle tecnologie che già da tempo fornivano la base delle applicazioni online, se ne sono aggiunte altre, come Flash, Silverlight; mentre all’orizzonte è già apparso HTML5.

E’ sfruttando la forza di queste nuove possibilità che Samy Kamkar ha deciso di creare Evercookie.

Evercookie è un “supercookie” quasi impossibile da eliminare; un cookie che crea un id univoco per ogni browser, rendendolo così facilmente riconoscibile e tracciabile. A rendere così resistente questo cookie è la sua capacità di memorizzarsi un po’ ovunque nel sistema. Non è più solo un file, ma sfruttando appunto le nuove tecnologie web, Evercookie va ad annidarsi in diversi nascondigli. Vediamo dove:

  • Standard HTTP Cookie
  • LSO (Cookie Flash)
  • Silverlight Isolated Sotrage
  • Informazioni di colore (RGB) di immagini PNG auto-generate e auto-salvate nella cache
  • Cronologia
  • HTTP ETags
  • Cache
  • HTML5 Session Storage
  • HTML5 Local Storage
  • HTML5 Global Storage
  • HTML% Database Storage (SQLite)

Niente male. Eliminare questo cookie è un po’ un casino.
La vicende è alle prime battute, è ancora controversa e probabilmente sentiremo ancora parlare di queste tecniche in futuro. Al momento non è ancora chiaro se l’operazione di rimozione di Evercookie sia agevole su tutti i browser.

Nel frattempo per venire incontro alle esigenze degli utenti di difendersi da questa nuova minaccia, Anonymizer ha sviluppato un’estensione gratuita per Firefox in grado di combattere il cookie immortale.

Infatti la rimozione di Evercookie è abbastanza complessa, pare che il super-cookie sia in grado di rigenerarsi se la procedura non viene compiuta in modo corretto. Effettuarla manualmente può essere un incubo. Nevercookie automatizza e semplifica questo processo.

Siamo forse all’inizio di una nuova fase nella storia della privacy in rete?

3 Commenti

  1. non capisco quale sia la pericolosità di avere dei cookie sul proprio client.. me la spieghi per cortesia?
    perchè ostinarsi a cancellarli?

  2. “Informazioni di colore (RGB) di immagini PNG auto-generate e auto-salvate nella cache”, questa tecnica mi ha colpito, sembra veramente astuta!

  3. >> non capisco quale sia la pericolosità di avere dei cookie sul proprio client..

    Posso dedurre tu non sappia cosa sia un Cross Site Request Forgery.

1 Trackback / Pingback

  1. upnews.it

I commenti sono bloccati.