Una nuova modalità di gestione delle password, il parziale restyling dell’interfaccia e l’evoluzione della Omnibox sono solamente alcune delle novità introdotte da bigG in Chrome 69. Un’altra è però divenuta oggetto di discussione e dibattito in merito alle modalità di trattamento dei dati riguardati l’utente: si parla di account Google, login e sincronizzazione delle informazioni.
Chrome e il login automatico
In breve, quando si effettua l’autenticazione a uno dei servizi messi a disposizione dal gruppo di Mountain View (Gmail, Drive, Foto ecc.) attraverso Chrome, in automatico il login viene effettuato anche per il browser, senza che ne venga chiesta esplicita autorizzazione. Un’azione che prima dell’ultimo update avveniva solo ed esclusivamente passando per il consenso dell’utente. È questo a sollevare timori più che giustificati, portati alla luce in un intervento condiviso sul proprio blog da Matthew Green, crittografo e docente alla Johns Hopkins University, con un intervento dal titolo alquanto esplicativo: “Why I’m done with Chrome” (“Perché ne ho abbastanza di Chrome”).
Va in ogni caso precisato che ciò non comporta la sincronizzazione di dati personali come cronologia di navigazione, preferiti e password con i server di Google, come sottolinea Adrienne Porter Felt, al lavoro sul browser. Per verificarlo è sufficiente aprire le impostazioni del software (chrome://settings/).
To reiterate, signing in does NOT turn on Chrome Sync. The Chrome Help Center https://t.co/t2pPjiqkVe and Chrome White Paper https://t.co/RFlpiSSs2j have up-to-date details about this change. My colleagues are updating the Chrome privacy notice ASAP to make this more clear 6/6
— Adrienne P?rter Felt (@__apf__) September 24, 2018
Secondo Google, dunque, la nuova feature divenuta oggetto di discussione non è altro che un comportamento attuato al fine di fornire all’utente un’indicazione visiva in seguito al login effettuato in uno dei suoi servizi, mostrando un’icona legata all’account personale nell’angolo superiore destro della finestra di navigazione.
Cosa dice la policy
Questo solleva un’ulteriore domanda, legata a ciò che viene specificato tra le norme sulla privacy di Chrome. Facciamo un salto alla sezione della policy intitolata “Modalità Chrome con accesso eseguito”, dove troviamo quanto segue:
Se l’utente accede al browser Chrome o a un Chromebook con il suo account Google, i suoi dati di navigazione personali vengono memorizzati sui server di Google e sincronizzati con il suo account. Tali dati possono includere: cronologia di navigazione, preferiti, schede, password e dati di compilazione automatica, altre impostazioni del browser…
Piuttosto chiaro il passaggio in cui viene messo nero su bianco che:
Queste impostazioni vengono caricate automaticamente ogni volta che accedi a Chrome su altri computer e dispositivi.
È dunque cambiata la policy e Google ancora non ha aggiornato il documento? Oppure la sincronizzazione (il caricamento delle impostazioni) non viene effettuata per ora, ma potrebbe avvenire in futuro? Il gruppo di Mountain View afferma che l’upload al momento non avviene, ma le norme specificano che attraverso il login l’azione è consentita. C’è un po’ di confusione.
Due possibili soluzioni
Per fortuna l’utente finale ha modo di intervenire sul comportamento oggetto di discussione, attraverso un’impostazione accessibile dai flag del browser. Non è certo la modalità più immediata né intuitiva, ma richiede pochi secondi ed è alla portata di tutti. Per impedire il login forzato in Chrome quando si effettua l’autenticazione a un servizio Google non bisogna far altro che incollare la stringa seguente nella barra dell’indirizzo:
chrome://flags/#account-consistency
In corrispondenza del flag “Identity consistency between browser and cookie jar” è poi sufficiente selezionare l’opzione “Disabled”.
Una possibile alternativa è offerta da incarnazioni del browser modificate ad hoc da sviluppatori di terze parti per risultare più rispettose di privacy e informazioni personali. Segnaliamo la release Ungoogled-Chromium citata dal sito BleepingComputer, che si basa però su versioni passate del codice e che dunque non include alcune delle più recenti feature.
Conclusioni
Un dibattito innescato proprio quando il progetto Chrome festeggia i suoi primi dieci anni. Se la posizione di Google in merito è piuttosto chiara (si fornisce all’utente un’indicazione in più sullo stato del login ai servizi offerti), non è altrettanto immediato comprendere perché la “feature” sia stata introdotta senza darne comunicazione esplicita, magari insieme ai post che come ormai da tradizione elencano tutti i cambiamenti apportati dal changelog di ogni nuova versione.
Non è da escludere che il gruppo di Mountain View scelga di fare dietrofront, rimuovendo una caratteristica che sembra poter allontanare alcuni utenti, in particolar modo quelli più attenti alla tutela della privacy. Dopotutto, bigG ha già dimostrato più volte di essere pronta ad accogliere i feedback, come nel caso della rimozione dei sottodomini “www” e “m” dalla barra dell’indirizzo di cui si è parlato la scorsa settimana.