Ecco un’altra dimostrazione che i browser sono un pericolo per la nostra privacy: visitate il sito What the internet knows about you e tenetevi forte. La home page vi accoglierà visualizzando i siti più popolari che avete visitato ultimamente. A vostra scelta, poi, potete verificare se il sito sappia ‘indovinare’, tra le altre cose, quali servizi di home banking utilizzate, quali notizie avete cercato, chi sono i vostri contatti su Twitter e, triste ma vero, i siti per adulti su cui avete sbirciato. Se abitate negli USA, poi, il sito rileva anche il vostro codice di avviamento postale.
Il sito è un esperimento allestito dai ricercatori Artur Janc e Lukasz Olejnik . I risultati fanno pensare: sulla base di 270.000 visite, risulta che il 76% degli utenti esporrebbe la propria cronologia, e la percentuale aumenta tra chi utilizza Safari e Google Chrome. Più esposto ancora – a sorpresa – risulta chi ha disattivato Javascript.
Tutto ciò significa che queste informazioni sono a disposizione di chi gestisce un sito e sappia come ricavarle. “Anche se l’esperimento era limitato nelle risorse” commentano i ricercatori “i nostri risultati indicano che la rilevazione della cronologia può essere usata nella pratica per raccogliere informazioni private da alcuni form sul web per un numero considerevole di utenti e può servire a sferrare attacchi mirati agli utenti di un particolare sito”.
Ma come è possibile tutto questo? Quando navigate su un sito, potete notare che il browser segnala in maniera diversa i link che avete già visitato. Ciò accade perché quando il browser incontra il link a un sito che avete già visitato, invia un codice di risposta al server. Oggi esistono applicazioni che possono interrogare trentamila link al secondo, quindi è molto facile per un webmaster ‘indovinare’ quali siti avete visitato.
Questa falla nella privacy non è nuova, ma è nota da almeno una decina di anni. Solo Mozilla ha annunciato di voler aggiungere delle protezioni alla prossima versione di Firefox 4.0, mentre Microsoft ha dichiarato che risolvere il problema è molto difficile, perché risiede nel cuore del protocollo HTTP. Dovremmo però stupirci, se anche questa vulnerabilità non fosse lasciata lì per caso?
