skip to main | skip to sidebar
13 commenti

Panico: i dati di navigazione degli utenti saranno messi in vendita. Sì, ma solo in USA

C’è molto panico in Rete per l’annuncio che il Congresso statunitense ha deciso di smantellare le norme sulla riservatezza della navigazione online degli utenti: in sintesi, si dice, i fornitori di accesso a Internet (i provider) d’ora in poi saranno liberi di vendere ai pubblicitari la cronologia dei siti visitati dai propri abbonati, senza dover chiedere permessi a nessuno (men che meno agli abbonati stessi). È partita una corsa generale per procurarsi contromisure informatiche per tutelarsi da questa nuova profilazione potenzialmente imbarazzante e si parla molto di VPN e di Tor. Vale la pena di fare un po’ di chiarezza.

Prima di tutto, niente panico! Il provvedimento riguarda soltanto gli Stati Uniti e comunque le norme statunitensi ora smantellate in realtà non erano ancora entrate in vigore, per cui i provider americani erano già liberi di vedere quali siti vengono visitati da un utente e condividere la sua cronologia con i pubblicitari.

In secondo luogo, non è detto che usare una VPN migliori le cose. Una VPN (Virtual Private Network) è un’applicazione che fa passare tutto il vostro traffico Internet attraverso i computer di un’azienda fornitrice. La vostra navigazione sembra quindi provenire da quell’azienda e il vostro provider non può sapere che siti visitate, perché il collegamento dal vostro dispositivo all’azienda che offre la VPN è cifrato. Ma questo significa che tutta la vostra navigazione passa attraverso il fornitore della VPN, che a sua volta potrebbe venderla o leggerla per esempio per ricattarvi se visitate siti discutibili. Usare una VPN gratuita o fornita da sconosciuti, insomma, rischia di ridurre la vostra privacy di navigazione.

Se decidete di adottare una VPN per qualunque ragione, scegliete quindi fornitori di buona reputazione che non archiviano la cronologia di navigazione, come per esempio Freedome, TunnelBear o PIA. Potreste anche usare il browser Opera, che ha un’opzione per navigare con una VPN inclusa.

Tor, invece, è un browser che maschera piuttosto efficacemente l’origine delle vostre navigazioni, e ci sono anche prodotti come Invizbox che fanno passare automaticamente tutto il vostro traffico, su tutti i vostri dispositivi, attraverso Tor oppure una VPN, ma il servizio è spesso lento in maniera esasperante.

In realtà la nostra cronologia di navigazione è già piuttosto protetta per il semplice fatto che moltissimi siti oggi usano automaticamente il protocollo cifrato HTTPS al posto di HTTP: in parole povere, se usate HTTPS il vostro provider può sapere quale sito avete visitato, ma non può sapere quale pagina del sito avete consultato. Se fate una ricerca in Google con HTTPS, il vostro provider sa che avete consultato Google, ma non sa che cosa gli avete chiesto.


Fonti aggiuntive: Lifehacker, New York Times.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (13)
ma non può sapere quale pagina del sito avete consultato

Ciao Paolo. Se non sbaglio n realta' possono sapere la pagina che hai visitato dall'URL ma non il contenuto della pagina stessa (a meno di non andarla a rileggere a parte)
Tutto ciò che va nella barra degli indirizzi è visibile in HTTPS: il provider può vedere, oltre al sito, anche la pagina precisa che ho visualizzato. Non ho mai controllato, ma se Google mette i parametri di ricerca della barra degli indirizzi (in GET anziché in POST), il provider può vedere che ho usato google e le parole chiave della ricerca. In ogni caso, in HTTPS i contenuti delle pagine, dei file ecc. restano "privati".
@eSSSE no in HTTPS anche l'url è criptato perché il comando GET avviene dopo la CONNECT e la scalata a SSL o TLS.
Quella di esssse è una domanda importante perché fa MOLTA differenza sapere cosa si fruisce al di sotto della home page, specie per siti come youtube e pornhub! Dice poco sapere chi li visita visto che lo fanno tutti, ma sapere nello specifico QUALI VIDEO vengono guardati è un'informazione di tutt'altro peso!
YT usa sempre la stringa watch?v= seguita da un codice alfanumerico che indica il video. Questo numero è inteso come parte dell'URL (e quindi visibile) oppure è un parametro passato come contenuto cifrato come user e password, numeri di carta di credito eccetera?
@eSSSSe
No, anche la pagina è crittata, dalla RFC2818:

2. HTTP Over TLS
Conceptually, HTTP/TLS is very simple. Simply use HTTP over TLS precisely as you would use HTTP over TCP.

Quindi anche la pagina richiesta rientra negli "application data" di TLS.

Il problema è che i siti stessi, anche senza la pagina specifica, possono dare una buona idea di chi sia dietro la tastiera e cosa stia facendo, specialmente in campo medico, politico e economico.
@eSSSSe: no, se usi HTTPS anche la richiesta è cifrata e dunque il provider vede solo l'indirizzo IP del server a cui ti connetti, che nel caso di sito in shared host, non è nemmeno sufficiente per sapere quale sito stai visitando. Certo, ci potrebbero risalire anche dalle richieste DNS (che non sono cifrate), ma hanno sempre comunque solo il sito e non la pagina.
[quote]
Ciao Paolo. Se non sbaglio n realta' possono sapere la pagina che hai visitato dall'URL ma non il contenuto della pagina stessa
[/quote]
No, sotto https l'ISP può sapere il sito dalla connessione all'IP, ma l'url è nell'header HTTP, crittato.
Lato pratico manco dall'IP ci fa molto, dato che molti usano CDN o reverse-proxy alla CloudFlare.

Sull'articolo:
[quote]
Tor, invece, è un browser che maschera piuttosto efficacemente l’origine delle vostre navigazioni, e ci sono anche prodotti come Invizbox che fanno passare automaticamente tutto il vostro traffico, su tutti i vostri dispositivi, attraverso Tor oppure una VPN, ma il servizio è spesso lento in maniera esasperante.
[/quote]
Si può semplicemente connettere a una VPN attraverso Tor per l'obiettivo 'tutto il traffico'.

[quote]
Se decidete di adottare una VPN per qualunque ragione, scegliete quindi fornitori di buona reputazione che non archiviano la cronologia di navigazione, come per esempio ...
[/quote]
L'argomento VPN è da sempre spinoso. Principalmente perchè i siti di review sono quasi tutti fake, foraggiati dalle VPN stesse, spesso creati dalle VPN stesse.
E perchè la gente tende a cercare VPN gratuite, che come dice Paolo è assolutamente PERICOLOSO.
Ma VPN oneste e siti di review onesti esistono.
Un paio sono: https://thatoneprivacysite.net/ e https://privacytoolsio.github.io/privacytools.io/
TunnelBear è canadese, e generalmente le VPN canadesi sono evitate come le US perchè non è chiaro se le leggi sugli ISP si applicano alle VPN (rif).
Freedome non accetta crittomonete e non supporta OpenVPN, per questo non è presa in considerazione dagli 'esperti'.
Su PIA nulla da dire.
Disclaimer, sono il fondatore e lavoro per una VPN, ma non la cito. Ma se avete domande, me ne intendo parecchio modestamente.
A proposito, complimenti per l'implementazione di HTTPS anche su questo sito.
Ovviamente Firefox mi avvisa che alcuni contenuti, come le foto, non sono coperte dal protocollo di sicurezza.
Una cosa non mi è chiara: i dati ceduti agli inserzionisti sono proprio legati (nome e cognome) all'utente, o in qualche maniera "anonimizzati"? Una cosa tipo Google, che piazza gli annunci pubblicitari in base alle ricerche, ma, in teoria, non dovrebbe sapere chi tu sia esattamente.

Posso consigliare l'estensione "HTTPS Everywhere", sia per Firefox che per Chrome, che "forza" il browser a caricare la versione https di molti siti, se esiste, anche se a volte dà dei problemi.
> Tor, invece, è un browser che maschera piuttosto efficacemente l’origine delle vostre navigazioni

Veramente Tor è un progetto open source che mette in piedi una rete di nodi atta ad instradare le comunicazioni tramite onion routing. "Tor Browser" è un browser. :) Capisco che l'intento sia di semplificare molto i concetti, ma non è il caso di dare informazioni concettualmente imprecise, secondo me.
"il Congresso statunitense ha deciso di smantellare le norme sulla riservatezza della navigazione online degli utenti: in sintesi, si dice, i fornitori di accesso a Internet (i provider) d’ora in poi saranno liberi di vendere ai pubblicitari la cronologia dei siti visitati dai propri abbonati, senza dover chiedere permessi a nessuno"

È perché lì si son stufati di farlo sottobanco come nel resto del mondo ( o forse solo "come in alcuni Paesi del mondo"...)
Facciamola semplice, EFF mette a disposizione un meccanismo automatico di richiesta del "Secure Socket Layer" per ogni sito che visitiamo:
https://www.eff.org/HTTPS-Everywhere
@Mr Wolf e @rico
Quell'estensione non la conoscevo, grazie per la segnalazione, tuttavia mi sorge un dubbio. Esiste un modo per poter forzare anche le app a fare chiamate HTTPS (es: amazon da browser o da app)?