6.2 KiB
Dalle origini al Web 2.0
Quando Internet è stato creato, il protocollo HTTP (utilizzato per visitare le pagine web) è stato pensato per trasferire dei semplici ipertesti (da qui il nome Hyper Text Transfer Protocol) arricchiti tramite fogli di stile CSS (Cascading Style Sheet). Successivamente, durante l'enorme, rapida evoluzione della rete, il protocollo ha implementato la possibilità di inviare qualsiasi tipo di file.
Contemporaneamente, i browser si solo evoluti per permettere l'esecuzione di script (piccoli programmi) inviati insieme agli ipertesti, rendendo possibile trasformare una pagina web da un semplice documento a un vero e proprio programma applicativo.
Anche se l'accesso ai dati del dispositivo da parte degli script è molto limitato, un sito web è in grado di allegare uno o più script insieme all'ipertesto, i quali vengono eseguiti immediatamente alla loro ricezione dal browser dell'utente.
Questi script possono comunicare ai server remoti numerosi dati riguardo la visita al sito, in particolare:
- i click che sono stati fatti
- le sezioni che sono (probabilmente) state lette
- le pagine che sono state visitate e per quanto tempo
- le righe che sono state copiate
- indirizzo IP, browser usato e sistema operativo con relative versioni
Con l'importanza crescente di un metodo per inviare dati importanti con sicurezza, il protocollo SSL (successivamente TLS) è stato creato, e con esso lo standard HTTPs che permette di utilizzare HTTP in maniera sicura incapsulando il traffico all'interno di pacchetti SSL.
Grazie ad HTTPs è possibile garantire la privatezza, l'integrità e l'affidabilità delle informazioni durante una comunicazione con un server.
Persistenza
Gli script possono istruire i browser web a salvare delle informazioni o, se presenti, spedirle al server permettendogli di riconoscere l'utente anche durante le prossime visite con una procedura molto semplice.
Queste informazioni sono dette cookie. Vediamo ora come funzionano:
- il server richiede al client il cookie che gli ha rilasciato precedentemente
- se il client non ha un cookie, allora è la sua prima visita e gli viene assegnato un nuovo cookie:
- il server memorizza l'associazione cookie-utente nel proprio database (o nella propria memoria);
- i cookie possono essere temporanei (si cancellano alla chiusura del browser) o permanenti (si cancellano dopo un certo tempo o mai);
- se il client ha un cookie, allora il server può usarlo per riconoscerlo confrontandolo con le associazioni cookie-utente memorizzate;
Queste caratteristiche evidenziano chiaramente dei problemi di sicurezza, ad esempio se un attaccante riuscisse a copiare un cookie valido da un dispositivo altrui potrebbe utilizzare liberamente l'account della vittima.
Grazie alla persistenza, i server dietro ai più visitati siti web possono profilare gli utenti, analizzando il loro comportamento.
La collaborazione tra i diversi colossi del web tra cui Facebook, Google, Microsoft eccetera e la loro integrazione con la maggior parte dei siti web consente a loro di tracciare ogni attività online di ogni utente che utilizza questi servizi.
Perchè?
Ci sono numerosi motivi per questa raccolta dati:
- Pubblicità mirate: Google inserisce le pubblicità sulle pagine web in base agli interessi dell'utente che andrà a visualizzarle, in modo da ottenere più click e di conseguenza più guadagni;
- Vendita dei dati: i social network possono vendere dati riguardo, ad esempio, l'interesse degli utenti verso un prodotto piuttosto che un altro;
- Studio del mercato: analizzando le mode e le discussioni sociali è possibile in certi casi prevedere svolte nel mercato di certe categorie o brand di prodotti;
- Correlazioni tra soggetti apparentemente indipendenti: combinando i profili dello stesso utente su servizi diversi, è possibile ottenere una visione completa dei suoi interessi e, confrontando una grande quantità di profili, dei modelli da utilizzare per prevedere i probabili interessi di una persona.
Opinione pubblica: privacy e controversie
Questa raccolta dati diventa problematica quando gli utenti si rendono conto che le loro conversazioni private tenute tramite Facebook, Twitter, WhatsApp e altri servizi non sono effettivamente private.
Soprattutto dopo le scandalose rivelazioni di Edward Snowden riguardo le attività della NSA Statunitense, in particolare la sorveglianza totale dei sistemi di comunicazione senza permesso, molti utenti hanno deciso di rivolgersi ad alternative sicure dei servizi che utilizzavano regolarmente poichè se l'NSA è in grado di sorvegliare l'attività degli utenti su servizi pubblici con ma anche senza permesso dei loro gestori, allora qualunque esperto con le risorse necessarie potrebbe farlo.
Una semplice ricerca sul Web riguardo a tutto ciò porta a scoprire l'esistenza di numerose soluzioni per ridurre questa continua propagazione di dati dai nostri browser alle terze parti con cui ci interfacciamo e le pubblicità mirate che vediamo.
Alcune comuni soluzioni sono:
- Ghostery e disconnect.me per evitare di immagazzinare cookie; inutili per noi ma utili per le corporazioni che tracciano le nostre attività
- AdBlock per eliminare o ridurre le pubblicità.
Attenzione: AdBlock è un software Closed Source, dunque non è possibile sapere esattamente che tipo di operazioni esegua sul proprio dispostivo. E' molto consigliata l'alternativa uBlock, che è un Software Libero e Open Source.
Il problema di Google
Google è uno dei servizi che raccoglie il maggior numero di dati dai propri utenti. Esistono delle alternative non invasive, ad esempio:
- il motore di ricerca DuckDuckGo per evitare l'immensa quantità di dati recuperati da Google ad ogni nostra mossa con il suo motore di ricerca
- OpenStreetMap al posto di Google Maps;
- le soluzioni illustrate nel capitolo "Condividere File Con Sicurezza" al posto di Google Drive;
- un mail server gestito personalmente in accoppiata con un client mail sicuro al posto di GMail.
Purtroppo, spesso la comodità e qualità dei servizi di Google va ben oltre quella delle sue alternative.