Alfonso Maruccia

Quando il sito è un guardone

Uno studio californiano mette in evidenza la diffusa pratica di ficcare il naso nella cronologia di navigazione, con l'intento di analizzare i percorsi di browsing e fornire advertising sempre più pertinente agli interessi dell'utente

Roma - I ricercatori della University of California, San Diego hanno redatto quello che è il primo studio compiuto sulla pervasività di un baco dei browser web noto da anni: usando un opportuno codice JavaScript è possibile individuare i siti web visitati in precedenza dall'utente, avendo in sostanza accesso a tutta la cronologia di navigazione del browser. Il baco, dicono i ricercatori, viene sfruttato da decine di siti ad altro traffico sebbene con finalità diverse.

Dopo aver analizzato il comportamento di 50mila siti tra i più popolari, il team della UCSD ha scoperto che almeno 47 di questi sfruttano codice JavaScript (anche offuscato) per ficcanasare nella cronologia del browser. Il più prominente dei "ficcanasi" è YouPorn, ma non mancano servizi web di ogni genere inclusi i siti di news, di finanza e sport.

La messa in atto dello sniffing di informazioni varia da sito a sito: alcuni - come il succitato YouPorn - usano codice offuscato fatto in casa che risiede sui server dello stesso sito, altri generano in maniera dinamica il codice per evitare l'identificazione, mentre altri ancora si limitano a deputare questa particolare caratteristica ai network che gestiscono la somministrazione di advertising.
Diverse anche le motivazioni: YouPorn scava nella cronologia per identificare quali altri servizi di streaming pornografico siano stati visitati dall'utente, mentre i pubblicitari sono interessati a raffinare la fornitura di ad in relazione agli interessi connessi ai portali visitati in passato.

E le legittime esigenze di riservatezza? Qualcuno dei siti colti a frugare nella cronologia prova a difendersi parlando di "esperimenti" di sniffing conclusi nel giro di pochi mesi, che hanno per di più dimostrato l'inefficacia della tecnologia nell'ottica dell'advertising mirato.

Come difendersi da un baco ben noto e che - suggerisce la ricerca della UCSD - viene ampiamente sfruttato per violare impunemente la privacy dell'utente? Le versioni più recenti di Google Chrome e Apple Safari sono immuni dal problema, mentre per Mozilla Firefox e Internet Explorer occorrerà attendere la distribuzione delle prossime main release.

Alfonso Maruccia
Notizie collegate
  • BusinessIndustria del Porno in ginocchioIl successo delle piattaforme di video-sharing online sta rivoluzionando i modelli di business del Porno: i vecchi produttori ed editori sono pronti alle battaglie per il copyright
  • AttualitàMicrosoft: la privacy perfetta non esisteBigM risponde alle critiche sollevate dal Wall Street Journal. Molte delle tecnologie usate per il tracking sarebbero alla base delle principali funzioni del web. E IE8 fa già abbastanza
  • SicurezzaEvercookie: un biscottino è per sempreUno sviluppatore si inventa una API in grado di generare un super-cookie resistente ai tentativi di eliminazione. E' per far crescere la consapevolezza dei rischi derivanti dal tracciamento telematico, assicura lo smanettone
40 Commenti alla Notizia Quando il sito è un guardone
Ordina
  • In Firefox nella barra degli indirizzi inserire
    about:config
    nella barra filtro inserire
    browser.sessionhistory.max_entries
    cliccare sulla riga visualizzata e porre il suo valore a 0
    non+autenticato
  • E le legittime esigenze di riservatezza? Qualcuno dei siti colti a frugare nella cronologia prova a difendersi parlando di "esperimenti" di sniffing conclusi nel giro di pochi mesi, che hanno per di più dimostrato l'inefficacia della tecnologia nell'ottica dell'advertising mirato.

    Cavolo... un bambino di 5 anni sorpreso con le mani nella marmellata s'inventa scuse migliori...

    Vediamo se "per esperimento" lo facciamo noi a loro questi ci mandano gli avvocati o se sono contenti e tranquilli come pretendono che siamo noi...
    non+autenticato
  • - Scritto da: gnugnolo
    > E le legittime esigenze di riservatezza? Qualcuno
    > dei siti colti a frugare nella cronologia

    Non frugano nella cronologia ma tentano di capire se un link è visited o not visited, blu o viola, vanno a tentativi.
  • Sì ma l'articolo recita: Uno studio californiano mette in evidenza la diffusa pratica di ficcare il naso nella cronologia di navigazione, con l'intento di analizzare i percorsi di browsing e fornire advertising sempre più pertinente agli interessi dell'utente

    Sono cose ben diverse... allora l'articolo è disinformativo o per lo meno fuorviante/allarmante

    Grazie x l'info
    non+autenticato
  • - Scritto da: gnugnolo
    > Sì ma l'articolo recita: Uno studio californiano
    > mette in evidenza la diffusa pratica di ficcare
    > il naso nella cronologia di navigazione,

    Il fatto che un link sia visitato o meno fa parte di ficcare il naso nella cronologia di navigazione (infatti non parlano dei bookmark).
    >
    > Sono cose ben diverse... allora l'articolo è
    > disinformativo o per lo meno
    > fuorviante/allarmante

    sicuramente allarmante più del dovuto.

    > Grazie x l'info

    Prego.
  • Non se ne fa menzione.
    non+autenticato
  • Concordo.
    Sgabbio
    26178
  • Non ho capito bene come funziona questa cosa. Da javascript riescono a ottenere la cronologia del browser? Qualcuno può spiegarmelo? O magari mandarmi qualche link/codice? Grazie...
    non+autenticato
  • - Scritto da: sylvia
    > Non ho capito bene come funziona questa cosa. Da
    > javascript riescono a ottenere la cronologia del
    > browser? Qualcuno può spiegarmelo? O magari
    > mandarmi qualche link/codice?
    > Grazie...

    Se clicchi nell'articolo dove c'è scritto "la ricerca" trovi tutto.
    Se poi mi spiegano quale utilità pratica abbia dare l'accesso all'oggetto cronologia da parte dei siti, se non quello di commettere violazioni della privacy, interesserebbe anche a me saperlo.
    non+autenticato
  • - Scritto da: sylvia
    > Non ho capito bene come funziona questa cosa. Da
    > javascript riescono a ottenere la cronologia del
    > browser?
    NO!
    Di norma i browser colorano i link testuali in blu e quelli già visitati in viola/porpora.
    Da javascript puoi creare un oggetto (come se fosse una pagina "virtuale" ma invisibile) nella quale metti i link che ti interessa monitorare poi guardi il colore che hanno.
    Il trucco non consente di avere una lista dei siti nella cronologia ma permette solo (nei browser in cui ancora funziona) di verificare se hai visitato una determinata url nella lista.
    N.B. una determinata url vuol dire che basta cambiare un dettaglio anche nella querystring perchè non vada piu.
    non+autenticato
  • Ora ho capito grazie!
    Chiariscimi un dettaglio però, chrome e opera quindi non colorano i link già visitati? E come si crea questo oggetto invisibile in javascript?
    non+autenticato
  • - Scritto da: sylvia
    > chrome e opera

    Volevo dire safari
    non+autenticato
  • - Scritto da: Ciccio

    > NO!
    > Di norma i browser colorano i link testuali in
    > blu e quelli già visitati in
    > viola/porpora.

    Quindi se io ho visitato http://punto-informatico.it/3051469/PI/News/quando... e gli spioni fanno un js dove compare questo link, esattamente questo link, allora possono sapere se l'ho visitato. Con la limitazione che dopo un certo tempo i link visitati ritornano del colore blu.

    Visto che di siti ce ne sono davvero tanti è un po' difficile che indovinino quali ho visitato. Certo un sito spione italiano può provare con un centinaio di link quali www.repubblica.it e via dicendo, oppure un centinaio di siti pornografici ma si tratta di una caccia che darà pochi frutti e magari scontati. Non mi pare un grande pericolo.
  • - Scritto da: Sandro kensan
    > - Scritto da: Ciccio
    >
    > > NO!
    > > Di norma i browser colorano i link testuali in
    > > blu e quelli già visitati in
    > > viola/porpora.
    >
    > Quindi se io ho visitato
    > http://punto-informatico.it/3051469/PI/News/quando
    >
    > Visto che di siti ce ne sono davvero tanti è un
    > po' difficile che indovinino quali ho visitato.
    > Certo un sito spione italiano può provare con un
    > centinaio di link quali www.repubblica.it e via
    > dicendo, oppure un centinaio di siti pornografici
    > ma si tratta di una caccia che darà pochi frutti
    > e magari scontati. Non mi pare un grande
    > pericolo.

    Si limitano alle home page dei siti più visitati e conosciuti e verificano se gli elementi creati prendono il css collegato a:visited.

    E' una cosa nota, già l'anno scorso avevo visto un demo di una pagina che aveva un migliaio di link nascosti e via javascript ti indicava quali erano stati visitati.
  • - Scritto da: suoranciata

    > E' una cosa nota, già l'anno scorso avevo visto
    > un demo di una pagina che aveva un migliaio di
    > link nascosti e via javascript ti indicava quali
    > erano stati
    > visitati.

    Appunto, non mi pare riescano ad avere molte possibilità di successo, di siti in Italia ce ne sono milioni e al massimo possono avere la conferma che io visito la home page di quelli più famosi, e allora? Non mi pare una grande informazione.
  • Usati nel modo giusto ti salvano praticamente da tutto.
    Il primo lo uso nel modo più aggressivo, limitando tutti i domini e abilitandoli uno alla volta, così nel tempo ho costruito la mia lista di siti fidati; idem per il terzo dopo aver navigato un po' basta attivare le request per i domini che offrono servizi usati genericamente da molti siti (image sharer, googleapis/yahooapis, wikimedia...)
    Inoltre ricordo che tutti i browser hanno la navigazione anonima, sotto varie nomenclature.
  • - Scritto da: suoranciata
    > Usati nel modo giusto ti salvano praticamente da
    > tutto.
    > Il primo lo uso nel modo più aggressivo,
    > limitando tutti i domini e abilitandoli uno alla
    > volta, così nel tempo ho costruito la mia lista
    > di siti fidati; idem per il terzo dopo aver
    > navigato un po' basta attivare le request per i
    > domini che offrono servizi usati genericamente da
    > molti siti (image sharer, googleapis/yahooapis,
    > wikimedia...)
    > Inoltre ricordo che tutti i browser hanno la
    > navigazione anonima, sotto varie
    > nomenclature.


    Non farsi le seghe ti salva ancora meglioA bocca aperta
    non+autenticato
  • > Non farsi le seghe ti salva ancora meglioA bocca aperta


    lol
    non+autenticato
  • e non ti fa perdere i capelli o diventare cieco
    non+autenticato
  • Il mio timore non è diventare ceco, è diventare slovacco.
  • Per questa hai vinto un panettone sotto l'albero!Sorride
    non+autenticato
  • - Scritto da: AngryHamster
    > Il mio timore non è diventare ceco, è diventare
    > slovacco.

    le matte risate
    non+autenticato
  • bella battuta, poi ironia della sorte molte attrici hard provengono in quei postiA bocca aperta
    Sgabbio
    26178
  • Ma se non si salva la cronologia? Si è colpiti lo stesso?
    non+autenticato
  • - Scritto da: suoranciata
    > Usati nel modo giusto ti salvano praticamente da
    > tutto.
    > Il primo lo uso nel modo più aggressivo,
    > limitando tutti i domini e abilitandoli uno alla
    > volta, così nel tempo ho costruito la mia lista
    > di siti fidati; idem per il terzo dopo aver
    > navigato un po' basta attivare le request per i
    > domini che offrono servizi usati genericamente da
    > molti siti (image sharer, googleapis/yahooapis,
    > wikimedia...)
    > Inoltre ricordo che tutti i browser hanno la
    > navigazione anonima, sotto varie
    > nomenclature.

    Si ma che due OO !

    Cioè, capisco un pò di accortezza, tipo far cancellare i cookies alla chiusura del browser e roba simile, però tra il salvataggio della cronologia, i cookie, FLASH, doubleclick, GOOGLE che è un tracciatore perfetto (altro che chrome, che traccia anche i link mentre li stai inserendo se non stai attento), i collegamenti forzati di Facebook nelle varie pagine, quell'altra cosa che non ricordo e che permette di verificare il sito visitato prima di entrare.

    Ci vogliono tremila plugin per evitare che vadano a vedere cosa fai, come stai, cosa ti piace, quante banche hai, e incroncino i tuoi dati con il tuo profilo, la tua email, la tua età, quello che guardi in TV, cosa hai fatto ieri, e vendano tutto in blocco a società sconosciute con sede in Albania e il conto alle Cayman.

    Internet non è più una rete, è diventata una guerra !
    non+autenticato
  • E pensare che la "porn mode" non era pensata per essere anonimi dai siti webA bocca aperta

    Comunque credo che i maggiori bowser web, prenderanno delle contro misure, comunque l'articolo dice nulla su opera ?
    Sgabbio
    26178
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)