Claudio Tamburrino

Facebook, i cookie e l'alimentazione forzata

L'indagine belga entra nel vivo, con uno studio che dimostra che il social network dissemina cookie sulle macchine dei netizen anche se non navigano sulle sue pagine, grazie ai suoi diffusissimi plugin. Facebook ha dichiarato che lo studio contiene imprecisioni

Roma - Facebook traccerebbe non solo chiunque navighi sulle sue pagine, ma anche su siti web ad esse collegati, anche se il visitatore non ha un account sul social network o ha esplicitamente espresso il proprio opt out dal tracciamento, come previsto dalla normativa europea di riferimento.

A metterlo in luce è una ricerca commissionata dall'Agenzia per la protezione dei dati belga nell'ambito del suo approfondimento della nuova policy Facebook in materia di privacy.

La ricerca è stata condotta dai ricercatori del centro interdisciplinare di diritto e ICT (ICRI) e dal dipartimento di sicurezza informatica e crittografia dell'Università di Leuven e dal dipartimento dedicato alle telecomunicazioni, ai media e all'informatica (Smit) della Vrije Universiteit di Bruxelles.
Secondo quanto riferiscono in seguito alle loro osservazioni, la raccolta di cookie adottata da Facebook violerebbe la normativa europea di settore e sarebbe legata alla nuova policy privacy di Facebook che esplicita la "raccolta di informazioni sulle visite delle pagine Facebook o di siti di parti terze che ne usano i servizi".

Ma se gli utenti del social network hanno approvato la licenza d'uso di Facebook e quindi accettato tale raccolta di dati, il problema sorge con la diffusione dei suoi plugin per i "Mi Piace" ed i commenti, disseminati su oltre 13 milioni di siti esterni al social network, tra cui alcuni di quelli che si occupano di salute o che sono legati alle pubbliche amministrazioni.

In pratica, nel momento in cui un utente naviga su un sito terzo in cui compare uno dei social plug-in, questo viene individuato e registrato attraverso dei cookie che vengono inviati automaticamente a Facebook. Anche se l'utente non ha effettivamente interagito con i pulsanti social.

Il problema è che, almeno in Europa, prima di poter procedere al tracciamento di un utente un sito deve ottenerne il consenso preventivo (sempre se tale tracciamento non sia indispensabile al funzionamento stesso del servizio): questo significa che un utente, alla prima visita di un sito che raccoglie cookie o traccia la navigazione dei suoi visitatori in altri modi, debba visualizzare un messaggio che chiede il consenso alla raccolta ed al trattamento dei dati. Cosa che i siti su cui compaiono le funzionalità per i commenti di Facebook non sapevano di dover fare.

Facebook, da parte sua, ha bollato l'analisi come "inaccurata", lamenta di non essere stata contattata per offrire spiegazioni e si dichiara "disponibile a collaborare nella speranza che i ricercatori siano pronti ad aggiornare il loro lavoro".

Claudio Tamburrino
Notizie collegate
  • AttualitàPrivacy Facebook, cavoletti di Bruxelles?Il Belgio guarda alla nuova policy relativa alla privacy offerta dal social network: il problema è legato alla chiarezza di alcuni termini, alle impostazioni di default ed al tracciamento effettuato sugli utenti
  • AttualitàFacebook: il prodotto sei tuLa nuova policy relativa alla privacy del social network estende le possibilità di utilizzo dei dati degli utenti. Che però hanno maggior controllo sulle modalità con cui ciò avviene
38 Commenti alla Notizia Facebook, i cookie e l'alimentazione forzata
Ordina
  • Ho l'impressione che questo genere di articoli (che ovviamente PI pubblica per creare discussione), siano quei tipici articoli fuorvianti pubblicati periodicamente dalla stampa di settore.

    Altrimenti non si spiegherebbe come i nostri amici di "Don't be evil", possano pubblicare paragrafi tipo :

    Information we collect

    a questo indirizzo

    http://www.google.com/policies/privacy/

    Senza che nessuno si accorga di nulla, tranne poi scandalizzarsi, quando si scopre che quelle cose le fa anche Facebook.
    non+autenticato
  • Quando MS lo ha proposto nel suo IE una protezione di default le pressioni sono state tante e tali che anche un colosso come loro ha dovuto fare un passo indietro.
    Per la massa sono efficaci solo se presenti di default
    non+autenticato
  • - Scritto da: Capitan harlock

    > Per la massa sono efficaci solo se presenti di
    > default


    Bravo. Hai colto uno dei pochi concetti che non capiscono né la massa né i presunti esperti di informatica, questi utlimi occupati a guardare il loro orticello ('ma io faccio così è li frego e blablabla...').
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: Capitan harlock
    >
    > > Per la massa sono efficaci solo se presenti
    > di
    > > default
    >
    >
    > Bravo. Hai colto uno dei pochi concetti che non
    > capiscono né la massa né i presunti esperti di
    > informatica, questi utlimi occupati a guardare il
    > loro orticello ('ma io faccio così è li frego e
    > blablabla...').

    IO faccio così.
    Se tu sei furbo fai lo stesso.
    Se invece vuoi far parte della massa ignorante accomodati, ma evita di sentirti tanto intelligente...
    Funz
    12995
  • - Scritto da: Funz

    > IO faccio così.
    > Se tu sei furbo fai lo stesso.
    > Se invece vuoi far parte della massa ignorante
    > accomodati, ma evita di sentirti tanto
    > intelligente...

    hai capito poco del discorso, ma visto il tuo ragionamento è 'chissenefrega degli altri io mi arrangio'*, direi che no vale nemmeno perdere tempo a spiegare.


    *ricorda un po' il famoso 'quando i nazisti vennero a prendere...'
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Funz
    >
    > > IO faccio così.
    > > Se tu sei furbo fai lo stesso.
    > > Se invece vuoi far parte della massa
    > ignorante
    > > accomodati, ma evita di sentirti tanto
    > > intelligente...
    >
    > hai capito poco del discorso, ma visto il tuo
    > ragionamento è 'chissenefrega degli altri io mi
    > arrangio'*, direi che no vale nemmeno perdere
    > tempo a
    > spiegare.
    >
    >
    > *ricorda un po' il famoso 'quando i nazisti
    > vennero a
    > prendere...'

    Che cosa pretendi da noi?
    Sono anni che diciamo all'utonto "RTFM!" ma quello che cosa fa? Niente.
    Aspetta quando mancano 2 giorni all'uscita del nuovo iGingillo per piantare le tende davanti allo store e farsi due notti di fila, e mentre aspetta si fa i selfie per postarli sull'ovile.

    Noi la nostra parte l'abbiamo fatta, ma dall'altra parte non c'e' peggior ignorante di chi vuol restare ignorante.
  • - Scritto da: panda rossa

    > Che cosa pretendi da noi?
    > Sono anni che diciamo all'utonto "RTFM!" ma
    > quello che cosa fa?
    > Niente.

    E allora fai quello che vuoi.
    Ma quando arriveranno a 'prendete te' perché te ne sei fregato tutte le volte che andavano a prendere qualcun altro, NON LAMENTARTI.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: panda rossa
    >
    > > Che cosa pretendi da noi?
    > > Sono anni che diciamo all'utonto "RTFM!" ma
    > > quello che cosa fa?
    > > Niente.
    >
    > E allora fai quello che vuoi.
    > Ma quando arriveranno a 'prendete te' perché te
    > ne sei fregato tutte le volte che andavano a
    > prendere qualcun altro, NON
    > LAMENTARTI.
    Tanto lui è nascosto in cantinaA bocca aperta
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: ...
    > > - Scritto da: panda rossa
    > >
    > > > Che cosa pretendi da noi?
    > > > Sono anni che diciamo all'utonto
    > "RTFM!"
    > ma
    > > > quello che cosa fa?
    > > > Niente.
    > >
    > > E allora fai quello che vuoi.
    > > Ma quando arriveranno a 'prendete te' perché
    > te
    > > ne sei fregato tutte le volte che andavano a
    > > prendere qualcun altro, NON
    > > LAMENTARTI.
    > Tanto lui è nascosto in cantinaA bocca aperta

    E' il primo posto dove guardano...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: Funz
    >
    > > IO faccio così.
    > > Se tu sei furbo fai lo stesso.
    > > Se invece vuoi far parte della massa
    > ignorante
    > > accomodati, ma evita di sentirti tanto
    > > intelligente...
    >
    > hai capito poco del discorso, ma visto il tuo
    > ragionamento è 'chissenefrega degli altri io mi
    > arrangio'*, direi che no vale nemmeno perdere
    > tempo a
    > spiegare.

    no, non hai capito proprio niente
    se leggi il mio post più in alto, vedrai che ho fornito un bel po' di soluzioni per difendere meglio la propria navigazione, altro che "arrangiatevi".
    Tu piuttosto, che dici di non voler muovere nemmeno un dito per difendere i TUOI diritti e la TUA privacy, puoi anche continuare a tenere la testa ficcata nella sabbia e il cu*o esposto a chiunque passi di lì...

    > *ricorda un po' il famoso 'quando i nazisti
    > vennero a
    > prendere...'

    no, affatto. Ragiona un po' di più.
    Funz
    12995
  • - Scritto da: Funz

    > no, non hai capito proprio niente

    io eh


    > Tu piuttosto, che dici di non voler muovere
    > nemmeno un dito per difendere i TUOI diritti e la
    > TUA privacy, puoi anche continuare a tenere la
    > testa ficcata nella sabbia e il cu*o esposto a
    > chiunque passi di
    > lì...

    non sai nulla di me. NULLA.
    non+autenticato
  • - Scritto da: Capitan harlock
    > Quando MS lo ha proposto nel suo IE una
    > protezione di default le pressioni sono state
    > tante e tali che anche un colosso come loro ha
    > dovuto fare un passo
    > indietro.
    > Per la massa sono efficaci solo se presenti di
    > default

    ti riferisci all'header "Do Not Track" abilitato per default?
    bella protezione Rotola dal ridere
    non+autenticato
  • intanto su questa pagina ci sono i tracker di google, facebook, twitter, , emediate, linkedin

    Quindi ?
    .poz
    205
  • - Scritto da: .poz
    > intanto su questa pagina ci sono i tracker di
    > google, facebook, twitter, , emediate,
    > linkedin
    >
    > Quindi ?

    quindi se non vuoi farti tracciare da FB devi usare strumenti che agiscano su tutti i siti, come i suddetti Ghostery + AdBlock (anzi, meglio adblock edge)
  • - Scritto da: AIlibito
    > - Scritto da: .poz
    > > intanto su questa pagina ci sono i tracker di
    > > google, facebook, twitter, , emediate,
    > > linkedin
    > >
    > > Quindi ?
    >
    > quindi se non vuoi farti tracciare da FB devi
    > usare strumenti che agiscano su tutti i siti,
    > come i suddetti Ghostery + AdBlock (anzi, meglio
    > adblock
    > edge)

    O magari bloccare i cookie di terze parti e non iscriverti che è già una buona cosa. Poi se vogliono tracciare l'aria facciano pure.
    non+autenticato
  • - Scritto da: .poz
    > intanto su questa pagina ci sono i tracker di
    > google, facebook, twitter, , emediate,
    > linkedin
    >
    > Quindi ?

    Quindi il client e' tuo, la connessione anche.
    Scelta tua se farti tracciare oppure no.
  • ma secondo te da dove ho ricavato la lista dei tracker ?

    Quello che volevo far notare è la contraddizione del pubblicare un articolo di genere in una pagina con diversi tracker...

    Anche se va detto che su PI c'è ne sono molto pochi rispetto ad altri siti.
    .poz
    205
  • - Scritto da: .poz
    > ma secondo te da dove ho ricavato la lista dei
    > tracker
    > ?

    Effettivamente...

    > Quello che volevo far notare è la contraddizione
    > del pubblicare un articolo di genere in una
    > pagina con diversi
    > tracker...

    Ma sai, questa cosa dei tracker e' un po' una leggenda metropolitana della rete, come le scie chimiche, come i banner pubblicitari, come i siti bloccati a livello di DNS.

    Tutti ne parlano ma nessuno ne ha mai visti. Rotola dal ridere

    > Anche se va detto che su PI c'è ne sono molto
    > pochi rispetto ad altri
    > siti.

    Come dicevo, sono tutte cose lato server.
    Sul client entra ed esce quello che vuole l'utente.
  • - Scritto da: panda rossa

    > Tutti ne parlano ma nessuno ne ha mai visti.
    > Rotola dal ridere
    Oddio se proprio uno insiste si vedono e si vedono pure benissimo.
    Tanto è vero che io e alcuni amici giochiamo a ... "ce l'ho, ce l'ho.... mi manca".
    Abbiamo per puro divertimento (condito con un pochino di sana goliardia) organizzato un mini-repository in cui ci scambiamo le "liste di biscottini" che i browser raccolgono "in giro per la rete" e poi ci raccontiamo quel che succede usando i cookies altrui gli effetti sono quantomai comici ma oltre a essere comici fanno ben capire cosa "interessa" ai vari venditori di fumo e aquisitori di informazioni più o meno "personali".
    La definirei una esperienza assai "educativa" stavamo pensando se rendere pubblico il sito con qualche commento per spiegare cosa facciamo perchè lo facciamo e cosa si impara facendolo.

    Secondo me un "utonto" medio che vedesse gli effetti del "gioco innocente" che abbiamo inventato capisce benissimo e piuttosto in fretta cosa succede e perchè.
    Magari non capisce "tecnicamente" il particolare o il dettaglio di certe tecniche ma la sostanza si!
    È proprio facile.
    Mi piacerebbe che invece di tanti "bla bla bla" si insegnasse anche a scuola perlomeno vedendo gli effetti cosa significa nel concreto.
    Ho visto diversi "esperti" (anche tecnici) rimanere meravigliati perchè conoscevano solo la parte teorica della faccenda ma non si erano mai presi i 2 minuti di tempo necessari a capire cosa succede realmente.

    Nessuno può realmente decidere quale comportamento vuole davvero tenere nei confronti di questa cosa fino a che non ha le informazioni elementari per rendersi conto di ciò che significa.

    Solo dopo può decidere realmente cosa fare e perchè farlo.
    non+autenticato
  • Ghostery, addons per browser.
    Fa questo e molto altro quanto a pulizia delle pagine dal tracciamento involontario.
    non+autenticato
  • - Scritto da: ...
    > Ghostery, addons per browser.
    > Fa questo e molto altro quanto a pulizia delle
    > pagine dal tracciamento
    > involontario.

    Ma anche una bella regola permanente di noscript che insierisce l'ovile nella lista dei siti non fidati funziona.

    Le armi per la difesa ci sono.
    Quello che manca a molti e' la volonta' e la capacita' di difendersi.
    Che diventino pure pecore se gli piace tanto.




    A proposito, tra pochi giorni e' Pasqua.... abbacchio arrosto!
  • Quoto entrambi.
    Ghostery + AdBlock forever!
    non+autenticato
  • chissà se questi armi bastano

    ad esempio io c'ho un setup particolare, una sorta di linux live dove i dati di sessione vengono persi ad ogni riavvio

    com'è logico cookie e altre banalità vengono persi, tuttavia ho notato che alcuni ad ( soprattutto provenienti da google ) sono stranamente "a tema", cioè rispondono alle attività di navigazione che ho svolto precedentemente

    dunque, come fanno a tracciarmi senza cookie e altre ovvietà traccianti? usano l'ip? l'isp fa qualcosa che non dovrebbe fare?

    belle domande, ma senza risposta ( per ora )
    non+autenticato
  • - Scritto da: collione

    > dunque, come fanno a tracciarmi senza cookie e
    > altre ovvietà traccianti? usano l'ip?

    > l'isp fa
    > qualcosa che non dovrebbe
    > fare?

    ci sono ISP che aggiungono on the fly intestazioni HTTP quando navighi in siti che hanno contratti con loro.

    Es: in USA so per certo che alcuni mandava(no) un ID univoco dell'utente (ovvero sempre uguale per la stessa utenza domestica).
    Nel mobile anche in Italia, mandano IL TUO NUMERO DI TELEFONO (sempre a chi paga) ed è questo il modo in cui i banner ti abbonano a servizi 'premium' senza che tu abbia fatto nulla.


    Modi lato server che non richiedono la collaborazione dell'ISP:
    -ovviamente il tuo IP se non cambia troppo spesso.
    -il metacookie che si ottiene leggendo le intestazioni HTTP, e verificando la capacità e le risposta JS del tuo browser.
    Con JS si entra in un mondo dove oltre alle canoniche funzioni che determinano l'area visiva ed altre cose, ci sono metodi HTML5 che quando renderizzano lo fanno in modo diverso su ogni combinazione HW/SW.
    Anche il tuo PC lo fa in modo leggermente diverso rispetto ad un altro che usa il tuo stesso identico software perché, per esempio, ogni modello di GPU ha lievi differenze nel rendering.
    Poi possono renderizzare le fonts e vedere quali hai (indipendentemente da quali dichiari).
    In pratica fanno una bella firma hash di un'immagine invisibile renderizzata dal tuo PC e tale firma ti identifica con buona approssimazione.
    non+autenticato
  • - Scritto da: ...
    > Nel mobile anche in Italia, mandano IL TUO NUMERO
    > DI TELEFONO (sempre a chi paga) ed è questo il
    > modo in cui i banner ti abbonano a servizi
    > 'premium' senza che tu abbia fatto
    > nulla.

    puoi fornire maggiori dettagli?
    non+autenticato
  • - Scritto da: Emoticon e video
    > - Scritto da: ...
    > > Nel mobile anche in Italia, mandano IL TUO
    > NUMERO
    > > DI TELEFONO (sempre a chi paga) ed è questo
    > il
    > > modo in cui i banner ti abbonano a servizi
    > > 'premium' senza che tu abbia fatto
    > > nulla.
    >
    > puoi fornire maggiori dettagli?
    Questo per i browser:
    https://panopticlick.eff.org/

    questo è il caso più famoso:
    "verizon super cookie"
    cercalo con il tuo motore di ricerca preferitoOcchiolino
    non+autenticato
  • - Scritto da: Emoticon e video
    > - Scritto da: ...
    > > Nel mobile anche in Italia, mandano IL TUO
    > NUMERO
    > > DI TELEFONO (sempre a chi paga) ed è questo
    > il
    > > modo in cui i banner ti abbonano a servizi
    > > 'premium' senza che tu abbia fatto
    > > nulla.
    >
    > puoi fornire maggiori dettagli?


    che dettagli vorresti avere? E autoesplicativo: clicki su un banner e ti arriva un SMS di conferma iscrizione ad un servizio premium.
    Il numero del device NON l'hai digitato, quindi come fa ad arrivarti un SMS a meno che il numero non glielo abbia dato il fornitore di connettività?
    non+autenticato
  • - Scritto da: Emoticon e video
    > - Scritto da: ...
    > > Nel mobile anche in Italia, mandano IL TUO
    > NUMERO
    > > DI TELEFONO (sempre a chi paga) ed è questo
    > il
    > > modo in cui i banner ti abbonano a servizi
    > > 'premium' senza che tu abbia fatto
    > > nulla.
    >
    > puoi fornire maggiori dettagli?

    Non ci sono dettagli, semplicemente non è vero.
    non+autenticato
  • - Scritto da: ...

    > Non ci sono dettagli, semplicemente non è vero.

    instestazione HTTP
    HTTP_X_UP_CALLING_LINE_ID
    e
    HTTP_X_FH_MSISDN,
    fatti delle ricerche, va...
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: ...
    >
    > > Non ci sono dettagli, semplicemente non è
    > vero.
    >
    > instestazione HTTP
    > HTTP_X_UP_CALLING_LINE_ID
    > e
    > HTTP_X_FH_MSISDN,
    > fatti delle ricerche, va...

    es.
    http://www.betatechnologies.org/tag/vodafone/
    non+autenticato