I browser Web sono diventati la nostra finestra sul mondo online, consentendoci di accedere a informazioni, comunicare e svolgere transazioni. Rispetto agli albori del Web, i browser moderni sono oggetti complessi, stracolmi di funzionalità, che spesso necessitano di un notevole quantitativo di risorse per funzionare.
Molti falsi miti circolano riguardo ai browser. Sfatarli è fondamentale per garantire una navigazione sicura e consapevole. In questa guida, esploreremo i più comuni falsi miti sui browser, provando ad offrire una panoramica su ciò che è vero e su ciò che è falso.
I browser sono tutti uguali
Sebbene i browser possano sembrare simili, ci sono differenze significative tra di loro. Ogni browser può offrire prestazioni, sicurezza, funzionalità e un livello di compatibilità diversi. Scegliere il browser più adatto alle proprie esigenze è quindi essenziale.
Nel corso degli ultimi anni si è assistito a una certa standardizzazione del motore di rendering di alcuni tra i principali browser Web.
Blink è il motore di rendering che i tecnici di Google hanno sviluppato a partire dal sorgente del componente WebCore di Apple WebKit. È stato sviluppato come parte del progetto Chromium con i contributi di Google, Opera Software, Adobe, Intel, Samsung e altre realtà. Non sorprende, quindi, che Chromium (browser libero creato da Google da cui è ricavato gran parte del codice sorgente di Chrome) sia diventato il punto di riferimento per lo sviluppo di un gran numero di browser e Blink si sia imposto come motore di rendering.
Google Chrome, Microsoft Edge (che un tempo usava EdgeHTML) e Opera sono tra i browser più noti che si appoggiano a Chromium/Blink; Apple Safari sfrutta ovviamente WebKit mentre Mozilla Firefox è rimasto l’unico prodotto multipiattaforma a usare un proprio motore di rendering. Firefox sfrutta infatti il motore Gecko, svilupppato da Mozilla stessa. Gli sviluppatori di Mozilla hanno anche lavorato su Quantum, motore che assicura prestazioni migliorate.
Compatibilità con gli standard e funzionalità specifiche
I browser possono differire nella compatibilità con le tecnologie Web e gli standard. Alcuni possono supportare meglio gli standard moderni come HTML5, CSS3 e JavaScript, mentre altri potrebbero avere limitazioni o incompatibilità. Scegliendo un browser che si appoggia a uno dei motori citati in precedenza, si ha la certezza di non incorrere in problemi.
Chrome, va detto, è più strettamente legato con i servizi dell’universo Google. Sebbene sia possibile evitare di sincronizzare Chrome, quindi di scambiare dati relativi ai propri account e alle attività svolte sul Web con i server Google, l’azienda di Mountain View tende a legare a doppio filo gli utenti del browser con i suoi servizi. In generale, comunque, i browser moderni offrono funzionalità di sincronizzazione che consentono di accedere ai segnalibri, cronologia e impostazioni da diversi dispositivi.
La stessa gestione profili Chrome può infastidire: abbiamo dedicato un intero articolo per spiegare come adattare il comportamento del browser alle proprie esigenze nel caso in cui si utilizzassero più account Google.
Alcuni prodotti, come Edge od Opera, puntano molto sulle funzionalità aggiuntive. Periodicamente vengono quindi aggiunte caratteristiche che non ci si aspetterebbero da un classico browser Web: ecco quindi spuntare VPN integrate, meccanismi per organizzare i contenuti all’interno di raccolte, per ottimizzare la resa delle immagini e dei video grazie a meccanismi di upscaling intelligente e molto altro ancora. Bella la possibilità di dividere la finestra di navigazione in Edge, molto utile sugli schermi di grandi dimensioni per avere sempre sott’occhio il contenuto di due diverse pagine Web.
I browser più popolari sono anche i più sicuri
La popolarità di un browser non è sinonimo di sicurezza. Il livello di protezione che può offrire ciascun browser durante la navigazione sul Web dipende dalla regolare applicazione delle patch di sicurezza via via rilasciate.
La stragrande maggioranza dei browser Web utilizza un meccanismo di aggiornamento automatico. Ciò significa che a intervalli regolari viene eseguito un processo che provvede a verificare la presenza di eventuali aggiornamenti. Lo stesso processo dispone il download degli aggiornamenti e la loro installazione.
Google Chrome, ad esempio, mostra un messaggio nella parte superiore destra dell’interfaccia, accanto alla barra delle applicazioni, quando il browser necessita di essere aggiornato. Ne parliamo nell’articolo sull’aggiornamento di Chrome e sul significato delle sue icone.
È bene provvedere subito e non ignorare l’indicazione perché spesso gli aggiornamenti permettono di risolvere vulnerabilità critiche che potrebbero essere sfruttate durante la semplice navigazione online.
In generale, i browser basati su Chromium implementano le stesse patch di sicurezza via via rilasciate da Google. Con alcune differenze minime. Soprattutto quando le problematiche di sicurezza riguardano componenti di basso livello, strettamente correlati con il motore di rendering.
Microsoft ha voluto ridurre, almeno parzialmente, la dipendenza dal motore JavaScript V8 di Chromium (si pensi alla Super Duper Mode) ma questo componente è comunque presente alla base del browser.
Il browser non consuma tante risorse
In Windows basta premere la combinazione di tasti CTRL+MAIUSC+ESC
per accorgersene: nella scheda Dettagli sono raccolte tutte le istanze collegate a ciascun browser in esecuzione. Un’occhiata ai valori delle colonne CPU, Memoria e Disco aiuta a capire quanto un browser, con tante schede aperte, incida sulle prestazioni della macchina.
L’architettura multiprocesso che viene utilizzata dalla maggior parte dei browser in circolazione, fa sì che in memoria siano contemporaneamente mantenute e gestite diverse istanze. Si troveranno quindi diverse occorrenze di chrome.exe
, msedge.exe
, opera.exe
, firefox.exe
e così via.
L’approccio a più processi è stato scelto, nel caso dei browser, per vari motivi. Per migliorare la stabilità del browser, la sicurezza (isolare il contenuto di una scheda rispetto alle altre), le prestazioni (distribuzione più efficace dei carichi di lavoro), per isolare più efficacemente estensioni e plugin, per supportare funzionalità avanzate (i.e. sandboxing).
Le pagine Web, tuttavia, sono diventate estremamente ricche e pesanti. Le elaborazioni compiute in background da alcune applicazioni Web possono impegnare il browser anche per lunghi periodi. Nel caso dei browser derivati da Chromium, si può premere MAIUSC+ESC
per accedere a una sorta di Task Manager a livello di singolo browser. Aiuta a stabilire quali schede aperte stanno occupando più risorse macchina consentendo di chiuderle direttamente ove necessario.
È necessario avere più browser per una migliore sicurezza
Anche l’idea di installare e utilizzare più browser sulla stessa macchina per migliorare la sicurezza è un falso mito. L’utilizzo simultaneo di più programmi per navigare sul Web sulla medesima macchina è una scelta comune tra gli sviluppatori che hanno la necessità di verificare come viene effettuato il rendering di una stessa pagina sulle varie applicazioni.
Spesso, si usano più browser per separare l’esperienza di navigazione personale da quella lavorativa e avere una gestione diversificata dei segnalibri, dei preferiti, dei meccanismi di login e degli account sui vari siti Web. L’installazione di più browser è una tattica comune anche tra coloro a cui la gestione dei profili di Chrome e degli altri prodotti alternativi non va affatto a genio.
L’importante è che per ciascun browser installato sul sistema si provvedano a installare gli aggiornamenti di sicurezza disponibili. Diversamente, si corre il rischio di lasciare una porta aperta che espone a rischi di aggressione durante la navigazione online.
Vale inoltre la pena ricordare che ogni browser installato sul sistema ha la sua procedura di aggiornamento automatico: se, tramite il Task manager, si vedono molteplici istanze di setup.exe in esecuzione che rallentano il sistema, il problema è proprio questo.
I browser in modalità incognito offrono la migliore protezione
Sono in tanti a ritenere che la modalità di navigazione in incognito garantisca una privacy completa. In realtà ciò è assolutamente falso. La navigazione in incognito (chiamata anche finestra anonima in alcuni browser) evita semplicemente che venga tenuta traccia, sul dispositivo in uso, dei siti aperti e della sessione di lavoro online.
Chiudendo le finestre di navigazione in incognito, sul PC non resta traccia delle attività svolte dall’utente. Inoltre, tutti i cookie eventualmente salvati in locale, utilizzati ad esempio per l’accesso a carrelli e-commerce, all’area privata dei vari siti Web, per memorizzare l’avvenuto login, sono sempre cancellati in toto.
Nel caso di alcuni browser, la navigazione in incognito fa sì che i cookie traccianti non siano memorizzati. L’obiettivo è evitare che i siti possano monitorare l’attività dell’utente sul Web.
La modalità di navigazione in incognito, tuttavia, non corrisponde a una navigazione anonima: l’indirizzo IP pubblico utilizzato dall’utente, per esempio, è sempre esposto e i server remoti possono stabilire – come abitualmente – da dove provengono le richieste di connessione. Il cosiddetto fingerprinting, che porta al riconoscimento dell’utente nelle diverse sessioni online, funziona anche nella modalità in incognito.
Per navigare nell’anonimato si dovrebbero utilizzare soluzioni come Tor Browser. Le stesse VPN potrebbero non essere sufficienti allo scopo, a meno che non offrano esplicite e dettagliate garanzie. Lo stesso provider VPN, ad esempio, può vedere il tuo traffico Internet dei suoi utenti a meno che non utilizzi una rigorosa politica di “no log“.
Un sito HTTPS (lucchetto) sta a significare che è sicuro da navigare
Si tratta di una delle credenze, purtroppo, più diffuse. Il simbolo del lucchetto nella barra degli indirizzi e il riferimento all’utilizzo del protocollo HTTPS, stanno semplicemente a significare che i dati scambiati tra client (dispositivo dell’utente) e server Web remoto (e viceversa) fluiscono in forma crittografata. Terze parti non possono leggere i dati trasferiti, modificarli, danneggiarli o sottrarli.
Un sito HTTPS, tuttavia, può anche diffondere contenuti dannosi, essere utilizzato per condurre truffe online (phishing) e non offre alcuna garanzia sulla legittimità dei contenuti che propone.
Ecco perché Chromium e Chrome dicono addio all’icona del lucchetto nella barra degli indirizzi: non ha più senso ed è anche controproducente mostrarla (perché fonte di spiacevoli equivoci).
Scaricare file da browser è l’unico modo per subire un’infezione
Come abbiamo fatto presente in precedenza, il regolare aggiornamento del browser Web è essenziale per proteggere la propria identità digitale e i dati memorizzati sul dispositivo in uso così come sui propri account. Scaricare file malevoli attraverso il browser non è affatto l’unico modo per subire un’infezione.
Abbiamo visto perché i cosiddetti zero-day sono pericolosi in Chrome così come negli altri browser. Astenersi dall’installazione degli aggiornamenti via via rilasciati, significa – nei casi peggiori – correre il rischio di vedere eseguito codice dannoso sulla propria macchina, semplicemente visitando una pagina Web malevola.
Gli attacchi drive-by, nel contesto dei browser, sfruttano vulnerabilità lasciate irrisolte per infettare o compromettere il sistema della vittima senza che sia necessario alcun tipo di azione da parte dell’utente stesso, come cliccare su un link o scaricare un file. Questi attacchi prendono appunto il nome “drive-by” perché il sistema può essere infettato semplicemente visitando un sito Web compromesso o una pagina contenente codice dannoso.
Per proteggersi da queste tipologie di attacco, è fondamentale mantenere il browser e le estensioni aggiornati: gli aggiornamenti includono correzioni di sicurezza che rimuovono o quanto meno attenuano le vulnerabilità note.
Le estensioni per il browser degli sviluppatori più noti sono sempre sicure
Il suggerimento che invita a installare poche estensioni su ciascun browser e limitarsi a quelle sviluppate dagli sviluppatori più conosciuti e apprezzati, è sicuramente corretto ed assai sensato.
Il problema, tuttavia, è che non si può escludere a priori che un’estensione – precedentemente legittima e con una buona base di utenti – possa improvvisamente mostrare comportamenti sospetti o addirittura pericolosi. È successo più volte in passato e i gestori dei principali store online contenenti estensioni per il browser pronte da installare hanno promesso di infittire i controlli. Ma non è possibile escludere a propri quest’eventualità.
È accaduto, in molti casi, che uno sviluppatore abbia venduto la sua estensione a un soggetto terzo. Quest’ultimo, invece che continuare sulla stessa strada, ha preferito aggiungere funzionalità al limite dello spyware. Gestire le estensioni è divenuto un imperativo ma, allo stesso tempo, è bene esaminare con la massima attenzione le evoluzioni di ciascun componente aggiuntivo. E conservare solo le estensioni strettamente indispensabili.