Una ricerca pubblicata in questi giorni rigira il coltello nella piaga del tracciamento a mezzo Web , una pratica invasiva al punto da seguire l’utente in ogni singolo tasto battuto, click o movimento del mouse effettuati nell’ambito di una pagina Web. Tutti lo fanno, soprattutto i siti più popolari, e quel che è peggio le informazioni vengono trasferite senza alcun rispetto per le regole minime di sicurezza.
Questa volta i ricercatori di Freedom To Tinker , affiliati all’Università di Princeton, si sono focalizzati sul session replay , un servizio fornito da aziende specializzate che permette a un proprietario o amministratore di un sito Web di analizzare in dettaglio tutto quello che i visitatori di detto sito Web fanno, scrivono, o cliccano.
Più che dannosa per la privacy, la pratica del session reply si trova agli antipodi di qualsiasi pretesa di riservatezza: gli script più invasivi sono in grado di replicare, in tempo reale, i tasti battuti dall’utente per riempire un form, così da permettere in teoria di “spiare” quel detto utente e raccogliere informazioni sensibili quali numeri di telefono, carte di credito, date di nascita e via elencando .
A rendere la pratica del session replay ancora più detestabile e pericolosa , denunciano i ricercatori, è il fatto che i servizi specializzati sono soliti scambiare le informazioni su connessioni non cifrate : in teoria è possibile che un malintenzionato comprometta il traffico o la dashboard del servizio, con tutte le conseguenze che è possibile immaginare per la sicurezza dei dati.
Più che essere un problema riguardante solo poche mele marce del Web, il session replay è un meccanismo di tracciamento onnicomprensivo che risulta ampiamente utilizzato dai siti più popolari del Web : 482 dei primi 10.000 siti nella classifica Alexa risultano “colpevoli”, con nomi universalmente noti come Microsoft, Adobe, GoDaddy, Spotify, WordPress, Reuters, Comcast, TMZ e molti altri ancora.
Alfonso Maruccia