Si può pensare a una pagina web come a una casa: è formata da varie “stanze” e vari mobili. Quando apriamo un url (https://informaticalab.com) il browser invia una prima richiesta per scaricare il blueprint della “casa”, cui fanno seguito altre $$n$$ richieste necessarie a scaricare tutti i componenti della pagina, quali immagini, animazioni, e pubblicità.

Per ottimizzare l’esperienza dell’utente, il browser allega alle proprie richieste i cosiddetti metadati che descrivono proprietà come la dimensione del nostro schermo o il sistema operativo in uso. Ciò permette ad esempio di ottimizzare il sito web per il mobile, per il desktop o in base alle dimensioni dello schermo.

Si è scoperto però che la quantità di metadati inviati dal browser, permette alle compagnie di advertising di tracciarci in maniera univoca mentre navighiamo nel web. Nel resto dell’articolo vedremo come funziona e come proteggerci dal “Digital Fingerprinting”, cercando di mantenere un livello di comprensione accessibile a tutti.

Che cos’è il digital fingerprint?

Immaginiamo di avere una tabella di 286,777 righe, corrispondenti a 286,777 utenti diversi, in cui le colonne rappresentino i loro metadati: dispositivo mobile, sistema operativo, browser utilizzato, dimensione dello schermo, etc.

Il digital fingerprinting è l’insieme di metadati (cioè le colonne del nostro esempio) necessari ad identificare in maniera univoca un utente.

Secondo uno studio, la possibilità di trovare 2 righe uguali è di circa 1 ogni 286,777 ovvero lo 0.0003%.

Quali rischi si incorrono col digital fingerprinting?

Quando il nostro browser vuole richiedere una pagina (come quella di questo articolo), utilizzerà un indirizzo. Per caricare correttamente la nostra pagina, il browser ha bisogno di scaricare anche tutte le risorse ad essa collegate. Tutto ciò che nella pagina non è semplice “testo” è di solito extra: ad esempio le immagini, i video o la pubblicità. È proprio della pubblicità che parleremo fra poco.

Ogni volta che il browser richiede un contenuto, dovrà inviare tutti i nostri metadati (le colonne dell’esempio nel paragrafo precedente).

Assumiamo di visitare in successione due siti diversi che utilizzano lo stesso sistema di advertising. Aprendo il primo sito contenente una recensione del nuovo iPhone, il nostro browser invierà una richiesta al sistema di advertising per scaricare una pubblicità.
Navigando verso il secondo sito, il nostro browser effettuerà una nuova richiesta per un nuovo blocco pubblicitario. Il sistema di advertising a questo punto, utilizzando il digital fingerprinting, potrà capire che l’utente che ha aperto questa nuova pagina, è lo stesso che poco fa ha visualizzato un articolo riguardante gli iPhone. Per questo motivo, nel secondo sito ci mostrerà proprio una pubblicità di un iPhone.

La cosa più interessante da notare è che anche se navighiamo da una finestra in Navigazione in incognito siamo comunque tracciabili. Nella modalità Incognito, Firefox fornisce una protezione dai principali Tracker, ma comunque non ci protegge da quelli meno noti.

Come capire se e quanto sei vulnerabile al digital fingerprinting

La Electronic Frontier Foundation (EFF) è una organizzazione no profit di legali e avvocati rivolti alla tutela dei diritti digitali, che ha rilasciato un tool consultabile online da questa pagina, che consente tramite un rapido test di sapere quanto il nostro browser sia vulnerabile al Digital Fingerprinting.

La EFF è anche la stessa organizzazione che ha effettuato lo studio sopra citato riguardante le percentuali di unicità dei browser, da reputarsi dunque una fonte attendibile.

Come proteggersi dal digital fingerprinting

Una premessa doverosa: I metadati che inviamo non sono inviati senza motivo. Servono a personalizzare e migliorare l’esperienza utente. Fra i metadati inviati, c’è ad esempio la lingua del tuo dispositivo. Immagina di non parlare inglese e visitare Facebook dopo aver bloccato l’invio di questi metadati. Finirai probabilmente nella versione in inglese, e dovrai cercare di capire come cambiare lingua in italiano.

In generale ci sono 3 soluzioni possibili:

  • Bloccare javascript
  • Utilizzare un browser resistente al fingerprinting
  • Utilizzare un anti-tracker.

Purtroppo, nel 2021 bloccare javascript significa rendere la maggior parte della pagine web inaccessibili. Javascript è il motore che consente ai siti web di sembrare così simili a programmi desktop.

Un browser resistente al fingerprinting potrebbe essere ad esempio Tor, lo stesso browser utilizzato per accedere alla darknet: per un utilizzo quotidiano, potrebbe non essere l’ideale.

Il consiglio che do è quindi di installare dei plugin per il browser che blocchino questi tracker. Questi plugin, disponibili per tutti i maggiori browser, ci permetteranno di bloccare automaticamente la maggior parte dei tracker attualmente attivi.

Per il futuro

Alcuni browser supportano l’invio – tra gli altri metadati – di un parametro specifico chiamato “Do Not Track”: questo è un messaggio chiaro e diretto per richiedere di non essere tracciati. Attualmente, però, è ignorato dalla maggior parte dei siti e tracker, motivo per cui è ancora necessario passare per gli ad-blocker.

La GDPR, sebbene sia collegata a questo problema, non affronta direttamente il Digital Fingerprinting, che rimane quindi ancora un rischio concreto in termini di privacy.

Conclusione

In questo articolo abbiamo visto che cos’è il digital fingerprinting. Tramite dei metadati, delle compagnie possono tracciare una mappa accurata di tutte le pagine e siti web che abbiamo visitato.

La probabilità che due utenti abbiano gli stessi metadati è dello 0.0003%. Questo ci rende quindi facilmente identificabili da parte di chi è in possesso dei dati.

Le soluzioni ad oggi possibili non sono però consigliate nella pratica perché possono potenzialmente danneggiare l’esperienza utente. Un adblocker consente di proteggerci dalla maggior parte dei tracker, ma il rischio rimane comunque concreto nel caso di tracker poco noti.