skip to main | skip to sidebar
10 commenti

Test: cosa può sapere di voi un sito che visitate

Il fingerprinting è l’attività informatica che consiste nel raccogliere le “impronte digitali” lasciate per esempio dai visitatori di un sito per identificarli. Molti utenti pensano che usare le funzioni di navigazione privata o anonima mettano al riparo da questa raccolta, ma non è così: meglio saperlo prima di fare passi falsi.

Luigi Rosa, su Siamogeek.com, ha preparato una dimostrazione innocua di questo fingerprinting che sopravvive senza problemi all’uso della navigazione anonima/privata: la trovate presso https://siamogeek.com/jsinfo.

Nel mio test, la dimostrazione ha rilevato il tipo e la versione del browser e del sistema operativo, la lingua utilizzata, la presenza di Flash Player e del plug-in di Skype, le dimensioni e l’orientamento dello schermo, il tipo di processore, il plug-in di riconoscimento vocale e altro ancora. E questa è la versione blanda: se volete saperne di più e conoscere le tecniche che consentono il fingerprinting attraverso la collezione di font del singolo utente, date un’occhiata all’articolo di Luigi Rosa.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (10)
Il contatore di accessi sul mio sito tira fuori tramite php informazioni piu' precise ed interessanti, giochetto sui fonts a parte!
Onestamente, non è molto avanzato. Ha semplicemente dumpato variabili javascript.
Uno dei servizi che sviluppo io, https://ipleak.net, rileva molta più roba.
Mi manca da implementare fingerprint via canvas e qualche altra tecnica, ma in compenso è il più avanzato sistema di rilevazione DNS e WebRTC che c'è in giro.
E' usato principalmente da utilizzatori di tunnel VPN per verificare se ci sono leak (particolarmente DNS leak sotto Windows).

(p.s. è un servizio gratuito, in tema con l'articolo, e non ha banner, solo un 'Powered by', per cui non mi pare spam).
Per non parlare di questo: https://clickclickclick.click !!
Proprio ieri ho visto questa pagina simile: http://webkay.robinlinus.com/

La trovo molto più completa e ben fatta di quella linkata, e IMHO fa molta più "paura".
Con NoScript attivo non rileva nulla. Ma quasi ogni sito ha un modo per costringerti a disattivarlo putroppo...
Vabbe ma questa è tipo la base del javascript! "Siamogeek", siete sicuri?
@ufffff @Clodo @balloto

Lo scopo non e' dimostrare di essere "master" in JavaScript a chi e' gia' programmatore, ma dimostrare a chi non sa nulla di programmazione quanto sia facile senza utilizzare script lato server o altre diavolerie (tipo Flash per enumerare i font con esattezza) quante informazioni vengano cedute a terzi.

Quelle sono le medesime informazioni che sono disponibili aggregate con le statistiche di Google. Anche qui: nulla di nuovo per chi le utilizza tutti i giorni, ma siamo proprio sicuri che l'utente quadratico medio sia conscio di questo e capisca le implicazioni?
@Luigi Rosa
Ma certo, ben venga ogni tentativo di sensibilizzare su queste tematiche.
Ma imho l'utente medio non-conscio dubito rimanga impressionato da quel genere di dati esposti con un layout tecnico, meglio attirare l'attenzione con qualcosa di più spettacolare/divertente/originale.
semi-ot: Quel che si poteva fare con Flash (il tuo esempio sui font) ormai è irrilevante con WebGL (esempio), che espone pure potenzialmente attacchi diretti all'hardware/GPU, o l'imminente WebVR.


@Luigi Rosa
Ecco un esempio pratico di quel che intendevo dicendo che WebGL è la nuova frontiera rispetto a Flash&Font per le tecniche di fingerprinting:
http://www.uniquemachine.org/
(personalmente l'ho scoperto oggi da un tweet di Hypponen)
Clodio: sto usando un tablet Android ed ho aperto, fidandomi (!), il link che hai indicato nel #9 con una pagina in incognito (Chrome): ho deciso di scrivere il messaggio intanto che l'altra pagina ci pensa. Appare un carattere di cui evidentemente non ho il codice giusto, due immagini e poi in fondo le foto, quasi, degli autori, un po' poco (nulla di significativo, assolutamente, sembra piantato).

Il java di Luigi ti dà il dato grezzo in locale senza esitazione, si direbbe quasi che le informazioni fossero già disponibili :-)

update: ricaricata la pagina cinese, sempre piantata allo stesso punto dopo un po' di veloci e graziose immaginette animate, uno poi si stufa e chiude...