Firefox 58 impedirà il browser fingerprinting: nessun riconoscimento senza cookie

Per identificare univocamente un utente che naviga in rete o meglio una stessa macchina o lo stesso dispositivo, non ci sono solamente i cookie (che sono peraltro facilmente cancellabili).
Esiste infatti un meccanismo battezzato browser fingerprinting che abbiamo illustrato negli articoli Privacy e Internet: quanto siete identificabili e tracciabili online? e Fingerprinting, il browser fa lo spione e gli utenti vengono riconosciuti.

Questo sistema permette di generare un identificativo per descrivere univocamente un dispositivo client tracciando dati come il browser usato, la risoluzione adoperata, le estensioni installa ma soprattutto il tag HTML Canvas.

L’elemento HTML Canvas può essere pensato come una tela sulla quale il browser può dipingere: un sito web può richiedere al browser di effettuare il rendering di una particolare combinazione di testi e grafica in un tag opportunamente nascosto nel corpo della pagina.
Le richieste di generazione di elementi complessi di solito producono differenze sostanziali nell’output da un sistema client all’altro che sono dovute alla specifica configurazione hardware e software in uso.
Differenze anche di pochi pixel tra i vari output del tag Canvas possono essere sfruttate per il browser fingerprinting e quindi per associare un ID univoco al client senza ricorrere a un qualunque tipo di cookie.

Ecco perché, per inciso, come avevamo osservato tempo fa – Cookie law: analisi dei chiarimenti del Garante – le normative sulla restrizione dell’utilizzo dei cookie da parte dei siti web (cookie law), così come approvate, secondo noi fanno acqua da più parti, non centrano il problema e sono addirittura penalizzanti per gli editori seri.

Firefox 58 bloccherà per default il browser fingerprinting

Sophos mette in evidenza che Mozilla ha compiuto un importante passo nella giusta direzione: la prossima versione del browser, Firefox 58, bloccherà automaticamente tutti i tentativi di browser fingerprinting allertando l’utente e offrendogli la possibilità di condividere o meno i dati relativi al suo sistema per la composizione di un ID univoco su server remoti.