Gli sviluppatori di Mozilla Firefox hanno spiegato di essere al lavoro per risolvere una “caratteristica” comune a tutti i principali browser web e che può rappresentare una minaccia per la privacy dell’utente. Si chiama “cascading style sheets history attack” ed è una sorta di “aggressione” che mira a sottrarre ampie liste di collegamenti web visitati in precedenza da parte dell’utente. L’attacco sfrutta una peculiarità di tutti i moderni browser web: la visualizzazione dei link visitati con un colore diverso (violetto anziché blu).
Questo aspetto è stato classificato da Mozilla come un bug almeno già dal 2002 sebbene la risoluzione del problema sia universalmente considerata come una grande seccatura. Si nutrono infatti forti dubbi su quali siano le modalità più adatte alla risoluzione della problematica: non si vuole correre il rischio che eventuali modifiche alla radice vadano ad impattare con le varie funzionalità per la corretta visualizzazione delle pagine web.
Sid Stamm, membro del team per la sicurezza di Mozilla, ha dichiarato che il bug sarà presto sanato in Firefox impiegando un approccio che non impatterà negativamente sull’usabilità del prodotto. “Qualche sito web potrebbe apparire in maniera leggermente diversa ma i link visitati resteranno comunque evidenziati con una colorazione differente“, ha osservato Stamm. “I siti che usano più colori per differenziare i link visitati potrebbero essere inizialmente resi in modo non corretto sintanto che non sistemeremo completamente le nostre modifiche. Riteniamo comunque che il nostro sia il miglior approccio teso a proteggere la privacy degli utenti“.
L’esperto di sicurezza Robert Hansen non ha espresso una valutazione egualmente ottimistica: la soluzione di Mozilla si limiterebbe solamente a complicare la vita a coloro che vogliono sfruttare la “lacuna”. Il problema, secondo Hansen, non verrebbe però eliminato alla radice.
Attacchi tesi a raccogliere informazioni sui siti web precedentemente visitati dagli utenti funzionano utilizzando codice JavaScript: ogni sito web al quale viene permessa l’esecuzione di codice JavaScript è potenzialmente in grado di mettere in campo l'”aggressione”.
Un sito come “WhatTheInternetKnowsAboutYou” (ved. questa pagina per le informazioni tecniche), impiegando semplice codice JavaScript, mostra ad esempio quali siti web – tra quelli inseriti in un database gestito dagli autori del sito – sono stati in precedenza visitati dal client collegato.
I fogli di stile (CSS) permettono l’uso di tre “selettori” che consentono di definire in che modo debbono apparire i vari link presenti nelle pagine web. Mediante JavaScript, ricorrendo al metodo getComputedStyle
, è possibile determinare quali link sono stati già visitati.
La soluzione proposta da Stamm è illustrata in questa pagina