Alfonso Maruccia

Cookie HTML5? Dritti in tribunale

Una nuova class action prende di mira le funzionalità di storage locale di HTML 5 e il loro abuso a fini di advertising. Si violerebbe la privacy tracciando gli utenti con ID univoci

Roma - Le funzionalità avanzate di HTML 5 saranno anche il futuro del web, ma almeno in un caso gli intraprendenti pubblicitari telematici hanno trovato il modo di sfruttarle a proprio vantaggio e in totale spregio del diritto alla riservatezza degli utenti di dispositivi mobile. Per lo meno è quanto si sostiene in una causa legale appena avviata nella corte federale di Los Angeles, una causa che vuole conquistarsi lo status di class action e che mette sul banco d'accusa l'agenzia di advertising Ringleader Digital.

Stando ai legali dell'accusa la suddetta società ha abusato delle capacità di storage locale di HTML 5, un meccanismo pensato per sostituire i componenti esterni sin qui utilizzati allo stesso scopo e che rappresenterebbe una delle principali funzionalità di quanti - Google in primis - spingono sull'adozione del cloud computing e delle applicazioni web in locale sincronizzate con i server remoti.

Ringleader Digital avrebbe trovato il modo di piegare lo storage di HTML 5 alle necessità di un vero e proprio tracker, come quelli che sono soliti tracciare le abitudini di navigazione dell'utente attraverso i cookie del browser. Anche cancellando i suddetti cookie il database restava sempre lì a disposizione del tracker, che riusciva a codificare ogni singolo utente con un ID univoco e a ricreare l'ID e il meccanismo di tracciamento anche dopo l'eventuale cancellazione del database locale di HTML 5.
"Non puoi liberarti di quel database - denuncia l'avvocato Majed Nachawati promotore della causa contro Ringleader - sei costretto a tenerti il database mentre ti traccia e traccia le tue abitudini di navigazione in rete, il che è una violazione delle leggi federali sulla privacy". Sul sito di Ringleader è prevista la possibilità di fare opt-out dal servizio, ma la possibilità è largamente depotenziata dalla totale mancanza di informazione sulla reale estensione dei servizi di "advertising" gestiti.

La causa di Nachawati ricorda molto da vicino quella contro i cookie Flash che attualmente coinvolge grandi nomi come MTV e NBC: anche in quel caso a essere sotto accusa è il meccanismo di tracciamento "permanente" che non sparisce alla cancellazione dei cookie del browser veri e propri.

In attesa di ulteriori sviluppi della vicenda e dell'eventuale concessione dello status speciale di class action all'iniziativa di Nachawati, al momento Ringleader si limita a rispondere a muso duro sostenendo di essere pronta a difendere "le proprie pratiche" dalle accuse di violazione della privacy degli utenti.

Alfonso Maruccia
Notizie collegate
  • TecnologiaGoogle saluta Gears e sposa HTML 5Le API di sincronizzazione di Mountain View vanno in pensione. Sostituite dalle nuove specifiche eminentemente cloud della futura revisione dello standard W3C
  • AttualitàUSA, il ritorno dei cookie zombieClass action intentata contro svariati siti web, rei di aver sfruttato segretamente una tecnologia capace di far tornare in vita i tradizionali cookie eliminati dagli utenti. E Google presenta un'allarme per la privacy
45 Commenti alla Notizia Cookie HTML5? Dritti in tribunale
Ordina
  • Per fortuna che per cancellare tutto, ma proprio tutto, c'è un bell'add-on per Firefox di nome BetterPrivacy:

    https://addons.mozilla.org/en-US/firefox/addon/662.../

    A bocca apertaA bocca apertaA bocca aperta
    non+autenticato
  • Su Opera, in preferenze avanzate, c'è la voce Archivi, sono elencati gli archivi che i siti salvano sul computer per un uso anche off-line.
    Credo siano gli stessi di cui parla l'articolo, se così è, allora Opera permette di rimuoverli facilmente, confermandosi il browser n°1.
    non+autenticato
  • esatto, si tratta proprio di quello, anche se limitatamente allo storage gestito tramite html5

    c'è la possibilità di usare i flash local stored objects e in quel caso nessuno dei browser esistenti ha un sistema di cancellazione ( ma il plugin flash ce l'ha ovviamente, ma sembra che questi avvocati non lo sappiamo )....inoltre flash permette di creare dei cookie cross-browser, cioè un cookie flash creato in firefox è leggibile da chrome o opera o ie
  • - Scritto da: pabloski

    > questi avvocati non lo sappiamo )....inoltre
    > flash permette di creare dei cookie
    > cross-browser, cioè un cookie flash creato in
    > firefox è leggibile da chrome o opera o
    > ie

    Questo è falso, semplicemente perchè i browsers memorizzano i dati su cartelle diverse.

    Un normale cookie memorizzato da IE puo essere copiato nella cartella di FF e essere letto. Non è una questione di cross-browsing, ma di percorso delle cartelle A bocca aperta
    Cookie injection ti dice niente? Anonimo
    non+autenticato
  • Non solo permette di rimuoverli, ma anche di disabilitarli...Occhiolino
    non+autenticato
  • Qui per elencare ed eventualmente cancellare gli LSO (Local Share Objects) di Flash memorizzati sul vostro sistema.

    http://www.macromedia.com/support/documentation/it...
    non+autenticato
  • Molto utile, grazie!
    non+autenticato
  • Anzi, anche se scegli elimina tutto, nella cartella utente resta un sacco di roba. Madonna che palle! Io disinstallo Flash... Tanto tranne il tubo è solo pattume e anche il tubo non scherza.
    non+autenticato
  • Flashblock e cambia la vita! Disponibile come estensione per Firefox e Chrome e anche per Opera come userjs.
    non+autenticato
  • - Scritto da: Joliet Jake
    > Non solo permette di rimuoverli, ma anche di
    > disabilitarli...
    >Occhiolino

    Il massimo sarebbe se permettesse di editarli! Con la lingua fuori
  • - Scritto da: panda rossa
    > - Scritto da: Joliet Jake
    > > Non solo permette di rimuoverli, ma anche di
    > > disabilitarli...
    > >Occhiolino
    >
    > Il massimo sarebbe se permettesse di editarli! Con la lingua fuori

    sono editabili ed esistono tools appositi per farlo.. si possono anche sharare eventualmente ^^ su ios e su android la cosa è piu pericolosa visto che i browser non hanno estensioni che consentono di eliminare questi biscottini
  • - Scritto da: lordream

    > > Il massimo sarebbe se permettesse di editarli!
    >Con la lingua fuori
    >
    > sono editabili ed esistono tools appositi per
    > farlo.. si possono anche sharare eventualmente ^^
    > su ios e su android la cosa è piu pericolosa
    > visto che i browser non hanno estensioni che
    > consentono di eliminare questi
    > biscottini

    Non si puo' collegare il device ad un pc e vedere dal PC il disco del device?
  • mi piacerebbe capire se dal punto di vista tecnico esiste
    davvero questo problema o è stato gonfiato dai legali
    per sostenere la class action.
    qualcuno ha link da condividere?

    grazie
    non+autenticato
  • Mi associo
    non+autenticato
  • Non vorrei fare la Cassandra, visto che ce n'è già una da queste parti, ma a mio parere il problema esiste eccome e se leggi le specifiche HTML5 salta all'occhio subito.

    Non so entrare nel merito della questione citata nell'articolo ma le nuove policy di "Client Side Storage" sono molto aggressive.

    Il fatto è che se prima c'erano i cookies che erano stringhettine e hanno creato i problemi di privacy e a volte anche sicurezza, ora col client side storage cambia tutto.

    Secondo le specifiche i siti possono memorizzare intere aree dati (Global Storage), sessioni e addirittura dei database accessibili con istruzioni SQL nel codice.

    Quindi nell'ottica di un "browser/sistema operativo" (tipo Chrome OS), non sarai tu a controllare la memorizzazione dei dati sul tuo terminale ma saranno i server a salvare ciò che vogliono nel tuo terminale.

    E ringrazia se hai un accesso al file system, perché se non hai nemmeno quello, nel mobile per esempio dove tra l'altro i dati sono più sensibili, il tuo browser prenderà pieno possesso del telefono, comprese le api di geolocalizzazione.

    Per informazioni basta che cerchi in GOOGLE ... ma loggati prima eh ... mi raccomando.
    non+autenticato
  • tutto giusto ma questo è un problema di politica gestionale e di aderenza alle leggi.....non è l'html5 local storage ad essere cattivo ma il modo con cui certi soggetti ne abusano

    è pur vero però che se ad un lato c'è la necessità di difendersi, d'altro canto c'è la necessità degli operatori del web a difendersi dagli utenti....prendi ad esempio un sito di poker o un qualsiasi altro sito che all'iscrizione ti dà un tot di crediti gratuiti....alcuni utenti faranno i furbi e apriranno decine di account per rastrellare crediti....basarsi sull'ip per identificare l'utente non è fattibile ( su un ip esistono più pc e quindi più utenti e comunque l'utente può resettare la connessione e così l'ip cambia )......

    non puoi nemmeno basarti sui cookie perchè è facile cancellarli....in quei casi spessissimo si usano i flash local stored objects che invece sono di fatto permanenti visto che il 99% degli utenti non sa che il plugin flash permette di cancellarli

    riguardo il cloud, invece, identificare l'utente con certezza è vitale, altrimenti non c'è modo di creare un web ubiquo, dove puoi entrare in vari servizi quasi senza loggarti....
  • - Scritto da: pabloski
    > tutto giusto ma questo è un problema di politica
    > gestionale e di aderenza alle leggi.....non è
    > l'html5 local storage ad essere cattivo ma il
    > modo con cui certi soggetti ne abusano

    appunto in principio i coockie sono ristretti in accesso al sito che lo ha originato e stesso varrà per i dati immagazzinati

    > è pur vero però che se ad un lato c'è la
    > necessità di difendersi, d'altro canto c'è la
    > necessità degli operatori del web a difendersi
    > dagli utenti....prendi ad esempio un sito di
    > poker o un qualsiasi altro sito che
    > all'iscrizione ti dà un tot di crediti
    > gratuiti....alcuni utenti faranno i furbi e
    > apriranno decine di account per rastrellare
    > crediti....basarsi sull'ip per identificare
    > l'utente non è fattibile ( su un ip esistono più
    > pc e quindi più utenti e comunque l'utente può
    > resettare la connessione e così l'ip cambia
    > )......

    per questo c'è solo un modo avere identitità certificate.
    Poi basta anche una mail e una notazione come foaf:mbox_sha1sum senza per forza dare in giro le proprie credenziali complete
    non+autenticato
  • il problema sai qual'è? è che quel certificato, per forza di cose, acquistare sempre più potere, nel senso che lo useremo per identificarci ovunque, col risultato che se te lo clonano sei fregato di brutto

    ho visto cose incredibili accadere nel settore delle transizioni ACH e solo perchè ci si fida troppo di una sequenza di bit
  • quotone su tutto, con HTML 5 ci sarà da ridere, con la memorizzazione in locale è stato aperto un portone con scritto welcome!
    non+autenticato
  • non avere quel portone aperto implica non avere i servizi offerti dal web che si sta costruendo.....http è un protocollo stateless e anonimo e questo ovviamente fa a cazzotti con la necessità di essere riconoscibili al volo da una miriade di servizi

    francamente non capisco perchè questi avvocati fanno tanta caciara....ciò che veramente va fatto è vigilare su quali dati vengono stoccati....del resto noi tutti abbiamo dati ben più importanti di un indirizzo ip stoccati in migliaia di database, a partire da quello dell'anagrafe fino a quelli delle società che gestiscono i pagamenti con carte di credito

    mi pare assurdo sparare a zero su un banale cookie che conserva le mie impostazioni o il mio session id
  • - Scritto da: pabloski

    > francamente non capisco perchè questi avvocati
    > fanno tanta caciara....ciò che veramente va fatto
    > è vigilare su quali dati vengono stoccati....del
    > resto noi tutti abbiamo dati ben più importanti
    > di un indirizzo ip stoccati in migliaia di
    > database, a partire da quello dell'anagrafe fino
    > a quelli delle società che gestiscono i pagamenti
    > con carte di
    > credito
    >
    > mi pare assurdo sparare a zero su un banale
    > cookie che conserva le mie impostazioni o il mio
    > session
    > id

    La differenza e' che mentre adesso i vari anagrafe, banca, societa' del telefono etc, che hanno i miei dati, hanno anche una autorizzazione ad usarli per un determinato scopo (legge sulla privacy).

    Invece i dati presenti in locale sulla mia macchina, basta un browser bacato, un sistema operativo bacato, un virus, un worm, e la prima botnet russa di passaggio se li legge, li cataloga e li rivende al miglior offerente o li usa in proprio...
  • il tuo esempio è improprio....un hacker può benissimo penetrare nella banca dati dell'anagrafe....non è un fatto raro come si crede

    se aggiungi tra i feed questo sito http://www.databreaches.net hai di che spaventarti nel notare come banche dati "sicure" sono più vulnerabili del tuo browser

    e poi, come ho detto, in quei cookie non ci sarà mai il tuo numero di carta di credito o il tuo codice fiscale, quindi non capisco di che privacy stanno parlando?
  • p.s. manco a farlo apposta http://www.net-security.org/secworld.php?id=9884&u...

    come si vede la vera minaccia per la sicurezza è l'utente