browser per la privacy

MICROSOFT EDGE HA RICEVUTO il punteggio di privacy più basso in uno studio pubblicato di recente, che ha confrontato le informazioni dell’utente raccolte dai principali browser. Yandex, il browser meno popolare sviluppato dal provider di ricerca Web russo Yandex, condivideva questa dubbia distinzione; Brave, il browser upstart che rende la privacy una priorità, classificato al primo posto.

Le classifiche sono state rivelate in un documento di ricerca pubblicato dallo scienziato informatico del Trinity College di Dublino Doug Leith. Ha analizzato e valutato la privacy fornita da Google Chrome, Mozilla Firefox e Apple Safari, oltre a Brave, Edge e Yandex. Nello specifico, lo studio ha esaminato l’invio di dati da parte dei browser, inclusi identificatori univoci e dettagli relativi agli URL digitati, che potrebbero essere utilizzati per tracciare gli utenti nel tempo. I risultati hanno portato i browser in tre categorie con Brave che ha ottenuto il ranking più alto, Chrome, Firefox e Safari hanno ricevuto un ranking medio e Edge e Yandex in ritardo rispetto al resto.

Nel documento, Leith ha scritto:

Dal punto di vista della privacy, Microsoft Edge e Yandex sono qualitativamente diversi dagli altri browser studiati. Entrambi inviano identificatori permanenti che possono essere utilizzati per collegare richieste (e indirizzo IP / posizione associati) a server back-end. Edge invia inoltre l’identificatore hardware univoco del dispositivo a Microsoft e Yandex trasmette allo stesso modo un identificatore hardware con hash ai server back-end. Per quanto ne sappiamo, questo comportamento non può essere disabilitato dagli utenti. Oltre alla funzionalità di completamento automatico della ricerca che condivide i dettagli delle pagine Web visitate, entrambi trasmettono le informazioni della pagina Web ai server che sembrano non correlati alla ricerca del completamento automatico.

Identificatori forti e duraturi

Sia Edge che Yandex inviano identificatori collegati all’hardware del dispositivo, secondo lo studio. Queste stringhe uniche, che possono anche collegare diverse app in esecuzione sullo stesso dispositivo, rimangono invariate anche dopo nuove installazioni dei browser. Edge invia l’ identificatore univoco universale di un dispositivo a un server Microsoft situato in self.events.data.microsoft.com. Questo identificatore non può essere facilmente modificato o eliminato. Inoltre, la funzione Edge che completa automaticamente le richieste del sito Web e, in tal modo, invia i dettagli dei siti digitati a un server back-end, non può essere disabilitata. Il ricercatore ha dichiarato di non essere a conoscenza di alcun modo in cui gli utenti possano disabilitare la raccolta dei dati.

LEGGI  Apple paga $288.000 agli hacker che hanno scoperto 55 vulnerabilità

Yandex, nel frattempo, ha raccolto un hash crittografico dell’indirizzo MAC hardware e i dettagli dei siti Web visitati attraverso la funzione di completamento automatico, sebbene quest’ultimo possa essere disabilitato. Poiché Edge e Yandex raccolgono identificativi collegati all’hardware che esegue i browser, i dati persistono attraverso nuove installazioni di browser e possono anche essere utilizzati per collegare varie app in esecuzione sullo stesso dispositivo. Questi identificatori possono quindi essere utilizzati per tenere traccia degli indirizzi IP nel tempo.

“La trasmissione di identificatori di dispositivi ai server back-end è ovviamente la più preoccupante in quanto è un identificatore forte e duraturo di un dispositivo utente che può essere rigenerato a piacimento, anche da altre app (consentendo quindi il collegamento di dati tra app dello stesso produttore) e non può essere facilmente modificato o ripristinato dagli utenti “, ha sottolineato il documento.

Un rappresentante Microsoft ha fornito una risposta a condizione che non sia stata nominata e che la risposta non sia citata. Non ha fornito alcun motivo per questo requisito. Ha affermato che Edge richiede l’autorizzazione per raccogliere dati diagnostici utilizzati per migliorare i prodotti. Ha detto che questa collezione può essere disattivata. Sebbene i dati “possano” contenere informazioni sui siti Web visitati, non vengono archiviati con gli account Microsoft degli utenti.

Sincronizzazione del browser

Quando gli utenti hanno eseguito l’accesso a Edge, possono sincronizzare la cronologia del browser per renderla disponibile su altri dispositivi. Gli utenti possono visualizzare ed eliminare questa cronologia nella dashboard sulla privacy situata su privacy.microsoft.com. Defender SmartScreen di Microsoft, una funzionalità di Windows 10 che protegge dai siti Web di phishing e malware e dal download di file potenzialmente dannosi, funziona controllando gli URL che gli utenti intendono visitare. Questa funzionalità predefinita può essere disabilitata tramite le impostazioni di Privacy e servizi Edge.

LEGGI  L'hacker che ha bucato Parler spiega come ha fatto

L’identificatore univoco consente agli utenti Edge di utilizzare un solo clic per eliminare i dati diagnostici associati memorizzati sui server Microsoft.

All’altra estremità dello spettro della privacy c’era Brave. Lo studio ha scoperto che le impostazioni di Brave predefinite offrivano la massima privacy, senza raccolta di identificatori che consentissero il tracciamento degli indirizzi IP nel tempo e nessuna condivisione dei dettagli delle pagine Web visitate con i server back-end.

Nel mezzo

Chrome, Firefox e Safari rientrano in una categoria media. La funzione di completamento automatico in tutti e tre i browser ha trasmesso i dettagli dei siti visitati in tempo reale durante la digitazione degli URL. Queste impostazioni predefinite, tuttavia, possono essere disabilitate. Altri comportamenti potenzialmente dannosi per la privacy inclusi:

  • Chrome: invia un identificatore persistente insieme agli indirizzi dei siti Web, consentendo ai due di essere collegati
  • Firefox: include identificatori nelle trasmissioni di telemetria che possono collegare queste cose nel tempo. (La telemetria è attiva per impostazione predefinita ma può essere disabilitata.) Firefox apre anche un websocket persistente per le notifiche push. Il websocket, ha detto il ricercatore, è collegato a un identificatore univoco e può essere potenzialmente utilizzato per il monitoraggio che non è facilmente disabilitato.
  • Safari: imposta automaticamente una pagina iniziale in grado di trasferire informazioni a “più terze parti” in grado di precaricare le pagine contenenti identificatori nella cache del browser. Inoltre, i processi iCloud associati hanno creato connessioni contenenti identificatori.

I funzionari di Apple hanno rifiutato di commentare il rapporto, ma hanno sottolineato che Safari per impostazione predefinita fornisce il blocco dei cookie di terze parti e una funzione complementare nota come Prevenzione del monitoraggio intelligente, entrambi i quali limitano le informazioni che i siti Web di terzi possono ottenere sugli utenti.

In una dichiarazione, i funzionari di Mozilla hanno scritto:

La cronologia di navigazione viene inviata a Mozilla solo se un utente attiva il nostro servizio di sincronizzazione, il cui scopo è quello di condividere i dati tra i dispositivi di un utente. A differenza di altri browser, i dati di sincronizzazione sono crittografati end-to-end, quindi Mozilla non può accedervi.
Firefox raccoglie alcuni dati tecnici su come gli utenti interagiscono con il nostro prodotto, ma ciò non include la cronologia di navigazione dell’utente. Questi dati vengono trasmessi insieme a un identificatore univoco generato casualmente. Gli indirizzi IP vengono conservati per un breve periodo per motivi di sicurezza e rilevamento delle frodi e quindi eliminati. Sono eliminati dai dati di telemetria e non sono utilizzati per correlare l’attività dell’utente durante le sessioni di navigazione.
Come sottolinea lo studio stesso, “la trasmissione dei dati degli utenti ai server back-end non è intrinsecamente un’intrusione nella privacy”. Limitando la raccolta e la conservazione dei dati e salvaguardando i dati che gli utenti condividono con noi attraverso la crittografia e l’anonimizzazione, Firefox lavora per proteggere la privacy delle persone e fornire un’esperienza di navigazione sicura. Pratiche e processi chiari e disponibili al pubblico rafforzano il nostro impegno a mettere al primo posto le esigenze degli utenti.

Come suggerisce il commento di Apple, lo studio ha una visione ristretta della sicurezza del browser, perché non ha preso in considerazione le funzionalità che bloccano il tracciamento di terze parti. Tuttavia, il documento è un buon motivo per cui le persone che utilizzano Edge, gli utenti di Chrome, Firefox e Safari potrebbero voler disabilitare la funzione di completamento automatico del sito Web, che non ho mai trovato altrettanto utile.

LEGGI  Come verificare facilmente se un'e-mail è legittima o una truffa

La risposta di Microsoft sopra fornisce modi per frenare anche alcune delle altre trasmissioni di dati. Mentre il browser viene fornito con misure di sicurezza avanzate che sono resistenti agli exploit, gli utenti che danno priorità alla privacy dovrebbero considerare la disabilitazione dei comportamenti predefiniti o l’utilizzo di un browser diverso.