La funzione di autocompletamento del browser è nota a tutti: quando si compila un form online in cui viene richiesto l’inserimento di indirizzi email o nome e cognome, è possibile fare clic sul suggerimento del browser web per inserire rapidamente i dati richiesti ed essere dispensati dal doverlo fare a mano.
C’è però un problema di fondo, a tutt’oggi presente, che è sconosciuto ai più e sul quale ci eravamo soffermati ormai oltre 8 anni fa: I dati inseriti nei moduli online sarebbero a rischio.
I browser web possono diventare degli incredibili alleati per utenti malintenzionati, advertisers, spammer e spioni. Toccando le giuste corde è infatti possibile non soltanto verificare i siti visitati in passato dagli utenti (Quali siti avete visitato in passato: chiunque può stabilirlo) ma anche raccogliere più informazioni personali rispetto a quelle che vengono richieste.
Già lo scorso anno il ricercatore indipendente Viljami Kuosmanen aveva fatto presente come, a distanza di tempo, il comportamento dei principali browser web, purtroppo, non fosse cambiato.
Quando si visita un qualunque sito web e ci si appresta a compilare un modulo online, il browser prova a richiamare la funzionalità di autocompletamento: cliccando su uno dei campi proposti, il browser offre la possibilità di scegliere i dati personali salvati in precedenza e di inserirli in automatico così da evitare un nuovo inserimento di email, nome e cognome, numeri di telefono e così via (qui è descritta la Compilazione automatica di Chrome).
Un sito web che richiede semplicemente un indirizzo email e un nome potrebbe in realtà rastrellare molte più informazioni rispetto a quelle che vengono richieste in modo esplicito.
Ciò è possibile sfruttando una “leggerezza” di Chrome, Safari, Opera e delle estensioni come LastPass: richiedendo solo una parte di informazioni mediante il modulo online e inserendo alcuni campi nascosti, l’utente non si accorgerà dei dati che invece vengono trasmessi a sua insaputa.
Come si vede nell’esempio, l’utente invia nome, cognome ed email ma, in realtà, il sito web riesce a raccogliere (quando viene usato l’autocompletamento) altri dati come l’indirizzo di residenza, il nome dell’azienda e i numeri telefonici.
Si provi a visitare questa pagina: si tratta di un test dimostrativo realizzato da Kuosmanen.
Come si vede, la semplice pagina HTML che si ha dinanzi richiede solamente l’inserimento di un nome e di un indirizzo email.
Compilando uno dei due campi, però, e scegliendo di servirsi dell’autocompletamento, si otterrà una pagina di risposta che contiene il proprio indirizzo, numero e dati della carta di credito, CAP, città e nazione di residenza, nome della propria azienda, numeri telefonici.
Com’è potuto accadere? Provate ad esaminare il codice HTML della pagina che contiene i campi nome ed email (premere CTRL+U
nella finestra del browser): oltre ad essi troverete una serie di campi nascosti (spostati nell’area non visibile della finestra con una banale direttiva CSS) che saranno automaticamente completati dalla funzione di autocompletamento del browser, all’insaputa dell’utente.
Attenzione quindi ai siti web dove si inseriscono informazioni personali e a valutare quando usare o meno la funzione di autocompletamento dei form.
In Chrome, per verificare i dati personali memorizzati dal browser e utilizzabili per l’autocompletamento, basta digitare chrome://settings/autofill
nella barra degli indirizzi. Tutte le informazioni sono modificabili e possono essere rimosse dal browser.