Alfonso Maruccia

Session reply, sul Web il rispetto della privacy è pura utopia

Il tracciamento degli utenti del Web è una realtà, ed è molto peggio di quello che credono i più: script specializzati permettono di conoscere ogni singola mossa di un visitatore, mentre i dati vengono gestiti in maniera insicura

Session reply, sul Web il rispetto della privacy è pura utopiaRoma - Una ricerca pubblicata in questi giorni rigira il coltello nella piaga del tracciamento a mezzo Web, una pratica invasiva al punto da seguire l'utente in ogni singolo tasto battuto, click o movimento del mouse effettuati nell'ambito di una pagina Web. Tutti lo fanno, soprattutto i siti più popolari, e quel che è peggio le informazioni vengono trasferite senza alcun rispetto per le regole minime di sicurezza.

Questa volta i ricercatori di Freedom To Tinker, affiliati all'Università di Princeton, si sono focalizzati sul session replay, un servizio fornito da aziende specializzate che permette a un proprietario o amministratore di un sito Web di analizzare in dettaglio tutto quello che i visitatori di detto sito Web fanno, scrivono, o cliccano.

Più che dannosa per la privacy, la pratica del session reply si trova agli antipodi di qualsiasi pretesa di riservatezza: gli script più invasivi sono in grado di replicare, in tempo reale, i tasti battuti dall'utente per riempire un form, così da permettere in teoria di "spiare" quel detto utente e raccogliere informazioni sensibili quali numeri di telefono, carte di credito, date di nascita e via elencando.

A rendere la pratica del session replay ancora più detestabile e pericolosa, denunciano i ricercatori, è il fatto che i servizi specializzati sono soliti scambiare le informazioni su connessioni non cifrate: in teoria è possibile che un malintenzionato comprometta il traffico o la dashboard del servizio, con tutte le conseguenze che è possibile immaginare per la sicurezza dei dati.

Più che essere un problema riguardante solo poche mele marce del Web, il session replay è un meccanismo di tracciamento onnicomprensivo che risulta ampiamente utilizzato dai siti più popolari del Web: 482 dei primi 10.000 siti nella classifica Alexa risultano "colpevoli", con nomi universalmente noti come Microsoft, Adobe, GoDaddy, Spotify, WordPress, Reuters, Comcast, TMZ e molti altri ancora.

Alfonso Maruccia
Notizie collegate
  • AttualitàAdvertising, il grande tracciamentoBasta una somma a dir poco contenuta per abusare delle piattaforma di advertising a scopo di tracciamento, denunciano i ricercatori. Gli utenti possono però difendersi disabilitando gli identificativi sia su mobile che su computer
31 Commenti alla Notizia Session reply, sul Web il rispetto della privacy è pura utopia
Ordina
  • - Scritto da: bubba
    > che ce volete fa'....Con la lingua fuori

    https://addons.mozilla.org/it/firefox/addon/noscri.../
    non+autenticato
  • - Scritto da: ma dai
    > - Scritto da: bubba
    > > che ce volete fa'....Con la lingua fuori
    >
    > https://addons.mozilla.org/it/firefox/addon/noscri

    E' uscito per la 57. Buono a sapersi.
  • - Scritto da: ma dai
    > - Scritto da: bubba
    > > che ce volete fa'....Con la lingua fuori
    >
    > https://addons.mozilla.org/it/firefox/addon/noscri
    ma va? lo uso da quando maone aveva i calzoni cortiA bocca aperta
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: ma dai
    > > - Scritto da: bubba
    > > > che ce volete fa'....Con la lingua fuori
    > >
    > >
    > https://addons.mozilla.org/it/firefox/addon/noscri
    > ma va? lo uso da quando maone aveva i calzoni
    > corti
    >A bocca aperta

    Del resto noscript E' il browser!

    Poi bisogna trovargli un addon che faccia le altre cose.
    Io per esempio uso mozilla come add-on di noscript.
  • - Scritto da: panda rossa
    > - Scritto da: bubba
    > > - Scritto da: ma dai
    > > > - Scritto da: bubba
    > > > > che ce volete fa'....Con la lingua fuori
    > > >
    > > >
    > >
    > https://addons.mozilla.org/it/firefox/addon/noscri
    > > ma va? lo uso da quando maone aveva i calzoni
    > > corti
    > >A bocca aperta
    >
    > Del resto noscript E' il browser!
    >
    > Poi bisogna trovargli un addon che faccia le
    > altre
    > cose.
    > Io per esempio uso mozilla come add-on di
    > noscript.


    mi spieghi perchè i tuoi link ciccano sempre? Fosse uno che ne funzionasse.Triste
    non+autenticato
  • - Scritto da: ma dai
    > https://addons.mozilla.org/it/firefox/addon/noscri

    peccato che poi il sito che userai non di andrà più, quindi inutile nel 2017. Andava bene negli anni '90 quando non c'erano molti script
    non+autenticato
  • - Scritto da: Alex_
    > - Scritto da: ma dai
    > >
    > https://addons.mozilla.org/it/firefox/addon/noscri
    >
    > peccato che poi il sito che userai non di andrà
    > più, quindi inutile nel 2017.

    Complimenti! Hai vinto il premio: "Quello che credeva che noscript servisse solo per velocizzare."

    Erano mesi che nessuno piu' se lo aggiudicava.

    > Andava bene negli
    > anni '90 quando non c'erano molti
    > script

    E va ancora meglio oggi quando ce ne sono troppi e troppo ficcanasi.
  • - Scritto da: panda rossa
    > E va ancora meglio oggi quando ce ne sono troppi
    > e troppo
    > ficcanasi.

    Ehi panda, a proposito di ficcanasi, ancora ti si aspetta di là per sapere cosa ne pensi di Android spione !! Rotola dal ridere
    Se vuoi puoi farlo anche qui, eh !! A bocca aperta
    non+autenticato
  • - Scritto da: panda rossa
    > Complimenti! Hai vinto il premio: "Quello che
    > credeva che noscript servisse solo per
    > velocizzare."
    >
    > Erano mesi che nessuno piu' se lo aggiudicava.

    Ultimamente tutti questi premi te li sei aggiudicati tu. Giusto lasciare qualcosa anche agli altri.
    non+autenticato
  • - Scritto da: Alex_
    > - Scritto da: ma dai
    > >
    > https://addons.mozilla.org/it/firefox/addon/noscri
    >
    > peccato che poi il sito che userai non di andrà
    > più, quindi inutile nel 2017. Andava bene negli
    > anni '90 quando non c'erano molti
    > script
    intendi siti come punto-informatico? perche' qui ns e' molto utile (nonostante non abbia problemi di iframe malevoli, clickjacking, reflected xss ecc)
    non+autenticato
  • Non ho capito cosa se ne fa un sito dei miei dati "replicati" visto che sto riempendo un SUO form e, una volta premuto il tasto invio, gli trasferisco tutti i dati che ho appena scritto!
    Serve per registrare i dati anche quando non confermo col l'invio?
    Per esempio per far apparire i suggerimenti sul motore di ricerca?
    Boh...
    non+autenticato
  • - Scritto da: Pseudonimo
    > Non ho capito cosa se ne fa un sito dei miei dati
    > "replicati" visto che sto riempendo un SUO form
    > e, una volta premuto il tasto invio, gli
    > trasferisco tutti i dati che ho appena
    > scritto!
    > Serve per registrare i dati anche quando non
    > confermo col l'invio?
    >
    > Per esempio per far apparire i suggerimenti sul
    > motore di ricerca?
    >
    > Boh...

    Se usi un browser non open, capace che gli manda la tua history di navigazione, tutti i cookies compresi quelli scaduti e mai cancellati, i tab aperti, etc...
  • - Scritto da: panda rossa
    > Se usi un browser non open, capace che ...

    Invece è più "capace che" tu non sappia , come sempre hai dimostrato , di non saper di cosa tu stia parlando.

    Però parli ... va beh dai , perlomeno ci fai ridere un po'.

    C'é una interessante news sul tuo amato Android , credo ti sia sfuggita.
    non+autenticato
  • - Scritto da: Pseudonimo
    > Non ho capito cosa se ne fa un sito dei miei dati
    > "replicati" visto che sto riempendo un SUO form
    > e, una volta premuto il tasto invio, gli
    > trasferisco tutti i dati che ho appena
    > scritto!

    Coursera è stato il primo sito web ad adottare apertamente l'identificazione dell'utente tramite impronta di battitura:
    https://en.wikipedia.org/wiki/Keystroke_dynamics
    Questo significa che un campo di una form può inviare i tasti battuti come un keylogger anche prima che tu premi invio, non solo, può inviare pure la misura degli intervalli di tempo tra un tasto e l'altro.
    Calcolando le medie sugli intervalli già da un form si può identificare una persona. L'unica difesa è scrivere su un notepad o un altro text editor e poi fare copia e incolla.

    A parte questo il replay può servire per analizzare le incertezze e i ripensamenti dell'utente, nel caso più innocuo si usa quando si rifa il design della form.
    non+autenticato
  • > A parte questo il replay può servire per
    > analizzare le incertezze e i ripensamenti
    > dell'utente, nel caso più innocuo si usa quando
    > si rifa il design della
    > form.

    Anche come sistema antifrode a volte.
    non+autenticato
  • - Scritto da: 987130910c9
    > - Scritto da: Pseudonimo
    > > Non ho capito cosa se ne fa un sito dei miei
    > dati
    > > "replicati" visto che sto riempendo un SUO form
    > > e, una volta premuto il tasto invio, gli
    > > trasferisco tutti i dati che ho appena
    > > scritto!
    >
    > Coursera è stato il primo sito web ad adottare
    > apertamente l'identificazione dell'utente tramite
    > impronta di
    > battitura:
    > https://en.wikipedia.org/wiki/Keystroke_dynamics
    > Questo significa che un campo di una form può
    > inviare i tasti battuti come un keylogger anche
    > prima che tu premi invio, non solo, può inviare
    > pure la misura degli intervalli di tempo tra un
    > tasto e l'altro.
    >
    > Calcolando le medie sugli intervalli già da un
    > form si può identificare una persona. L'unica
    > difesa è scrivere su un notepad o un altro text
    > editor e poi fare copia e
    > incolla.

    No.
    La procedura corretta e' quella di:
    disabilitare javascript,
    mettere il browser offline,
    compilare i campi,
    rimettere il browser online,
    riabilitare javascript,
    inviare il form.
  • - Scritto da: panda rossa
    > No.
    > La procedura corretta e' quella di:
    > disabilitare javascript,
    > mettere il browser offline,
    > compilare i campi,
    > rimettere il browser online,
    > riabilitare javascript,
    > inviare il form.
    quante cose che sai
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: 987130910c9
    > > - Scritto da: Pseudonimo
    > > > Non ho capito cosa se ne fa un sito dei
    > miei
    > > dati
    > > > "replicati" visto che sto riempendo un
    > SUO
    > form
    > > > e, una volta premuto il tasto invio, gli
    > > > trasferisco tutti i dati che ho appena
    > > > scritto!
    > >
    > > Coursera è stato il primo sito web ad
    > adottare
    > > apertamente l'identificazione dell'utente
    > tramite
    > > impronta di
    > > battitura:
    > >
    > https://en.wikipedia.org/wiki/Keystroke_dynamics
    > > Questo significa che un campo di una form può
    > > inviare i tasti battuti come un keylogger
    > anche
    > > prima che tu premi invio, non solo, può
    > inviare
    > > pure la misura degli intervalli di tempo tra
    > un
    > > tasto e l'altro.
    > >
    > > Calcolando le medie sugli intervalli già da
    > un
    > > form si può identificare una persona. L'unica
    > > difesa è scrivere su un notepad o un altro
    > text
    > > editor e poi fare copia e
    > > incolla.
    >
    > No.
    > La procedura corretta e' quella di:
    > disabilitare javascript,
    > mettere il browser offline,
    > compilare i campi,
    > rimettere il browser online,
    > riabilitare javascript,
    > inviare il form.

    Prima e dopo la compilazione della form ti sei dimenticato di staccare il doppino ethernet e lanciare il sassolino a campana.
    non+autenticato
  • - Scritto da: panda rossa

    > No.
    > La procedura corretta e' quella di:
    > disabilitare javascript,
    > mettere il browser offline,
    > compilare i campi,
    > rimettere il browser online,
    > riabilitare javascript,
    > inviare il form.

    37000 messaggi su un forum di informatica e ancora non sai che riabilitare JS non funziona sulle pagine già caricate e quindi, per fare quello che dici, dovresti fare refresh perdendo tutti i campi già compilati?
    non+autenticato
  • - Scritto da: espertone
    > - Scritto da: panda rossa
    >
    > > No.
    > > La procedura corretta e' quella di:
    > > disabilitare javascript,
    > > mettere il browser offline,
    > > compilare i campi,
    > > rimettere il browser online,
    > > riabilitare javascript,
    > > inviare il form.
    >
    > 37000 messaggi su un forum di informatica e
    > ancora non sai che riabilitare JS non funziona
    > sulle pagine già caricate e quindi, per fare
    > quello che dici, dovresti fare refresh perdendo
    > tutti i campi già
    > compilati?

    Funziona benissimo.
    Appena provato con questo messaggio.
  • - Scritto da: panda rossa

    > Funziona benissimo.
    > Appena provato con questo messaggio.


    ROTFL!
    I messaggi su questo sito vanno in POST normalissimo senza usare JS, LOL
    non+autenticato
  • vai, file hosts e tutti quei siti lì

    Goodbye
    non+autenticato
  • Osservo senza alcuno stupore che molti dei siti in quell'elenco stanno da tempo immemore nella mia blacklist

    Altri di quelli non credo di averli mai visitati in passato ne' intendo farlo in futuro.

    Mentre solo per alcuni che frequento, utilizzo l'anonimizzatore e noscript abilitato.

    Voialtri fatevi profilare liberamente.
  • - Scritto da: panda rossa
    > Voialtri fatevi profilare liberamente.

    Ehi panda, ti aspettano di là per sapere cosa ne pensi di Android spione !! Rotola dal ridere
    non+autenticato
  • - Scritto da: peppino
    > - Scritto da: panda rossa
    > > Voialtri fatevi profilare liberamente.
    >
    > Ehi panda, ti aspettano di là per sapere cosa ne
    > pensi di Android spione !!
    > Rotola dal ridere

    panda usa solo minix, non lo sapevi?
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: peppino
    > > - Scritto da: panda rossa
    > > > Voialtri fatevi profilare liberamente.
    > >
    > > Ehi panda, ti aspettano di là per sapere cosa ne
    > > pensi di Android spione !!
    > > Rotola dal ridere
    >
    > panda usa solo minix, non lo sapevi?


    Toh!? 2 coglioni!! Gemelli stesso ovulo?
    non+autenticato
  • - Scritto da: panda rossa
    > Osservo senza alcuno stupore che molti dei siti
    > in quell'elenco stanno da tempo immemore nella
    > mia
    > blacklist
    >
    > Altri di quelli non credo di averli mai visitati
    > in passato ne' intendo farlo in
    > futuro.
    >
    > Mentre solo per alcuni che frequento, utilizzo
    > l'anonimizzatore e noscript
    > abilitato.
    >
    > Voialtri fatevi profilare liberamente.
    ma quali? i siti clienti (colonna sx) o i siti cattivi (colonna centrale)?
    non+autenticato
  • - Scritto da: bischero
    > - Scritto da: panda rossa
    > > Osservo senza alcuno stupore che molti dei
    > siti
    > > in quell'elenco stanno da tempo immemore
    > nella
    > > mia
    > > blacklist
    > >
    > > Altri di quelli non credo di averli mai
    > visitati
    > > in passato ne' intendo farlo in
    > > futuro.
    > >
    > > Mentre solo per alcuni che frequento,
    > utilizzo
    > > l'anonimizzatore e noscript
    > > abilitato.
    > >
    > > Voialtri fatevi profilare liberamente.
    > ma quali? i siti clienti (colonna sx) o i siti
    > cattivi (colonna
    > centrale)?

    I siti clienti.

    Quelli centrali stanno gia' in blacklist di default