Chrome 97: perché in tanti parlano di rischio fingerprinting

Google ha avviato in queste ore la distribuzione di Chrome 97, versione aggiornata del suo browser il cui rilascio ha subìto un po’ di ritardo per via delle festività natalizie.

Con l’ultima major release l’azienda di Mountain View porta al debutto alcune nuove funzionalità: c’è ad esempio quella che permette di cancellare tutti i dati di un sito Web liberandosi anche di tutti i cookie eventualmente memorizzati sul dispositivo.

Per accedervi basta portarsi nelle impostazioni di Chrome (cliccare sui tre puntini in alto a destra quindi scegliere Impostazioni oppure digitare chrome://settings nella barra degli indirizzi), cliccare su Sicurezza e privacy, Impostazioni sito e infine su Visualizza le autorizzazioni e i dati memorizzati sui siti. In alternativa è sufficiente incollare chrome://settings/content/all nella barra degli indirizzi.

Cliccando sui nomi dei siti web (per impostazione predefinita Chrome mostra per primi i domini più visitati dall’utente) si possono cancellare singoli cookie e gestire tutti i permessi accordati a ogni singola applicazione.

Accanto a questa nuova caratteristica, tuttavia, Chrome 97 ne abbraccia un’altra che secondo gli sviluppatori di browser alternativi (Apple, Mozilla e Brave) va nella direzione diametralmente opposta.
La nuova versione del browser Google abbraccia infatti l’utilizzo del metodo getLayoutMap() e delle corrispondenti API.

Ben lungi dall’essere una funzionalità per attivare forme di keylogging, come erroneamente sostenuto da qualcuno, getLayoutMap() è uno strumento utile a stabilire quale layout di tastiera sta usando l’utente. In pratica permette a un’applicazione web (tranne quelle eseguite all’interno di IFRAME) di capire lo schema della tastiera utilizzato sul dispositivo client: com’è noto, infatti, la disposizione dei tasti cambia tra una tastiera italiana, statunitense, francese e così via.

Apple e Mozilla hanno già contestato pubblicamente la decisione di Google confermando che il metodo getLayoutMap() non verrà supportato nei rispettivi browser. Perché? Perché le API possono in questo caso essere utilizzate per facilitare attività di fingerprinting degli utenti a loro totale insaputa.

Nell’articolo in cui spieghiamo cos’è e come funziona il fingerprinting abbiamo visto che si tratta di una tecnica che permette di riconoscere uno stesso utente (o meglio lo stesso dispositivo) che si presenta a più riprese su una o più pagine web in tempi successivi. Il riconoscimento univoco viene messo in atto senza usare cookie superando quindi a pié pari le disposizioni emanate in materia dal legislatore europeo.
La possibilità di usare un metodo come getLayoutMap() riduce l’entropia mettendo nelle mani degli interessati un nuovo strumento per effettuare un’identificazione univoca degli utenti.

Le altre novità di Chrome 97

Per quanto riguarda le altre novità di Chrome 97, il browser di Google gestisce meglio le applicazioni PWA ovvero le speciali versioni delle applicazioni web che appaiono a livello di sistema operativo come programmi nativi.

A partire da Chrome 97 le app PWA si presentano con un’interfaccia molto simile agli altri programmi installati sul sistema e si registra la rimozione degli ultimi riferimenti al layout del browser Google.

Sui dispositivi mobili, inoltre, Chrome permette adesso di impostare e “ricordare” il livello di zoom preferito a livello di ogni singolo sito web: l’impostazione può essere attivata tramite Chrome flags digitando chrome://flags/#enable-accessibility-page-zoom.

Infine, Chrome 97 permette di stabilire mediante CSS se l’utente utilizza un dispositivo equipaggiato con un display HDR o meno in modo tale da differenziare e ottimizzare l’esperienza.