Nel 2005, gli sviluppatori Apple integrarono Private Browsing a livello di motore di rendering WebKit. L’obiettivo, comune anche ad altri browser Web, era quello di proteggere la privacy degli utenti che condividono l’uso del medesimo dispositivo. La funzione è chiamata navigazione in incognito nella maggior parte dei browser e fa sì che il programma di navigazione si astenga dal memorizzare in locale qualunque dato relativo alle attività svolte online.
A quasi due decenni di distanza, Apple ha radicalmente fatto evolvere il concetto di Private Browsing spiegando che gli utenti non dovrebbero mai essere tracciati sul Web senza il loro consenso. Con l’introduzione di Safari 17.0 e successivi aggiornamenti, la Mela ha portato al debutto Private Browsing 2.0 che non si limita a evitare la memorizzazione delle informazioni in locale ma protegge gli utenti da tutte le minacce alla privacy sempre più sofisticate.
Cos’è e come funziona Private Browsing 2.0
Implementare un’architettura capace di proteggere la privacy a livello di motore di rendering è un deciso passo in avanti. WebKit è motore di rendering utilizzato dal browser Safari su ogni piattaforma Apple (macOS, iOS e iPadOS). Fino a qualche tempo fa anche le app di terze parti (browser compresi) erano obbligati a utilizzarlo mentre le disposizioni approvate di recente in ambito europeo (DMA, Digital Markets Act in primis) hanno fatto cadere anche questa (gravosa) restrizione.
La piattaforma Private Browsing 2.0 adesso ambisce a proporsi come una soluzione a 360 gradi, capace di fungere da baluardo per la sicurezza e la riservatezza dei dati personali.
Rimozione dei parametri di tracciamento dagli URL
Con l’integrazione della “navigazione privata” ulteriormente migliorata, ora Safari rimuove automaticamente i parametri di tracciamento dai link prima che l’utente sia diretto sulla pagina Web di destinazione. Questo comportamento impedisce agli script di terze parti di tracciare l’attività dell’utente attraverso i siti Web. Di fatto, però, i conteggi legati alle campagne pubblicitarie e a molti sistemi di statistica utilizzati in ambito Web marketing verranno meno.
Blocco dei contenuti traccianti e difesa dal fingerprinting migliorata
Utilizzando un content blocker basato sui dati forniti da DuckDuckGo ed EasyPrivacy, Safari blocca le richieste di rete verso i tracker conosciuti, impedendo così qualsiasi tentativo di esfiltrazione di dati personali.
Ancora, Private Browsing 2.0 si concentra sulla protezione avanzata dal fingerprinting. WebKit si adopera cioè per ridurre al minimo il trasferimento verso server remoti di informazioni tecniche che potrebbero essere utilizzate per tracciare un identikit del singolo utente e, ad esempio, riconoscerlo univocamente tra una sessione online e l’altra. Il meccanismo di protezione aggiunge ad esempio rumore, in modo da rendere impossibile, se non estremamente difficile, l’identificazione univoca del dispositivo.
Isolamento delle sessioni di navigazione e protezione dell’indirizzo IP
Ogni scheda di navigazione privata utilizza sessioni separate attraverso proxy di iCloud Private Relay. In questo modo i server Web non possono collegare le attività svolte su diverse schede contemporaneamente aperte nel browser.
Quando si accede a server locali o aziendali, inoltre, Safari avvisa gli utenti prima di rivelare il loro indirizzo IP: anche questa è un’ulteriore misura per controllare la privacy e proteggere gli utenti da applicazioni “invasive”.
Disattivazione delle estensioni più “chiacchierone”
È risaputo che alcune estensioni per il browser possono costituire una vera e propria minaccia. Con Private Browsing 2.0, le estensioni che accedono ai dati dei siti Web o alla cronologia di navigazione sono disabilitate per impostazione predefinita nella modalità di navigazione privata. Gli utenti hanno comunque facoltà di abilitarle ove necessario.
AdAttributionKit: ecco come WebKit misura le performance degli annunci
Se da un lato Apple rimuove i parametri contenuti negli URL, tipicamente utilizzati per tracciare l’interesse degli utenti e la provenienza dei clic, dall’altro spiega di aver rafforzato le abilità dello strumento in precedenza conosciuto come Private Click Measurement. Rinominato in AdAttributionKit, si tratta di un componente chiave della nuova suite di strumenti orientati alla privacy introdotta con Private Browsing 2.0.
Secondo la Mela, AdAttributionKit offrirebbe un metodo rispettoso della privacy per misurare le performance degli annunci pubblicitari. Invece di tracciare ogni singolo clic o visualizzazione di un annuncio, AdAttributionKit utilizza un approccio aggregato e anonimo per fornire dati utili sulle conversioni.
I tecnici di Apple sottolineano che nessuna informazione personale, utile a individuare ogni singolo utente, è raccolta o condivisa. I dati di attribuzione sono resi anonimi e aggregati in modo da non poter essere ricondotti a singoli utenti.
Gli utenti hanno il controllo su quali informazioni condividere e possono disabilitare AdAttributionKit se preferiscono non partecipare alla misurazione delle performance degli annunci.
Mozilla ha recentemente adottato un approccio simile sollevando un vespaio di polemiche. I detrattori sostengono che prima di raccogliere qualunque dato, gli utenti dovrebbero essere informati al fine della raccolta del loro consenso. Inoltre, come osserva Jonah Aragon, il server che aggrega i dati conosce comunque il comportamento tenuto su ogni istanza del browser.
Conclusioni
Con l’introduzione di Private Browsing 2.0, Apple mira a introdurre un nuovo standard per la privacy sul Web: lo scrive chiaramente nel post di presentazione. Le innovazioni apportate da Apple vogliono essere una sorta di “chiamata a raccolta” per gli sviluppatori, spronandoli a continuare ad appoggiarsi a WebKit.
D’altra parte, le novità di Private Browsing 2.0 non solo proteggono meglio gli utenti di Safari, ma fissano anche un benchmark che altri browser dovranno raggiungere per garantire una protezione adeguata ai loro utenti.
L’iniziativa promossa da Apple, inoltre, sembra strizzare l’occhio anche alle Autorità – soprattutto quelle europee -, una sorta di attestazione dell’impegno profuso dalla Mela nella protezione dei dati degli utenti. A nostro avviso, comunque, soluzioni come AdAttributionKit e similari sono destinate a passare sotto la lente d’ingrandimento dei Garanti Privacy.