Il team di sviluppo di WebKit, il web browser engine open source utilizzato in Safari e in numerose altre app per Mac e iOS, ha condiviso via blog alcuni miglioramenti che sono stati apportati alla funzione di Intelligent Tracking Prevention (ITP) in iOS e iPadOS 13.4 e Safari 13.1 su macOS, rilasciati con gli ultimi aggiornamenti distribuiti da Apple.
Il sistema di Intelligent Tracking Prevention (ITP), sintetizzando, limita le possibilità di tracciamento degli utenti mediante i cookie nel corso della loro navigazione dei siti web.
Il team di sviluppo di WebKit ha ora reso noto che i cookie per le risorse cross-site sono ora bloccati per impostazione predefinita, su tutta la linea e senza eccezioni. Il team di WebKit lo considera come un miglioramento significativo per la privacy anche se in effetti potrebbe sembrare un cambiamento più grande di quello che effettivamente è.
Le funzionalità di Intelligent Tracking Prevention sono infatti presenti da tempo e con l’evolversi delle versioni sono state introdotte via via più restrizioni: la maggior parte dei cookie di terze parti erano già bloccati in Safari prima dell’ultimo aggiornamento.
Safari, sottolinea il team di sviluppo di WebKit, potrebbe essere il primo browser mainstream a bloccare completamente i cookie di terze parti per impostazione predefinita: oltre al browser di Apple, ha implementato questo comportamento solo Tor Browser mentre Brave ha lasciato solo alcune eccezioni.
Chrome, che è di gran lunga il browser più diffuso, ha anch’esso iniziato un percorso indirizzato verso una maggiore sicurezza e privacy della navigazione web, e dovrebbe a sua volta abbracciare tale comportamento entro il 2022.
Il blocco totale dei cookie third-party introduce diversi vantaggi relativi alla sicurezza e alla privacy. In primo luogo, spiega il team di WebKit, qualsiasi tipo di tracking prevention o content blocking che tratti i contenuti web in modo diverso in base alla loro origine o all’URL rischia di essere esso stesso strumentalizzato ai fini di monitoraggio dell’utente, se le pagine web possono rilevare il diverso trattamento. In tal modo lo stato interno del sistema di tracking prevention potrebbe essere a sua volta trasformato in un vettore di tracciamento. Il blocco totale fa sì che non ci sia uno stato interno all’ITP che possa essere intercettato.
Inoltre, questo comportamento previene il cosiddetto Login Fingerprinting, una tecnica che consente a un sito web di rilevare, senza che l’utente ne sia consapevole, a quali siti è stato effettuato l’accesso. Questa tecnica è praticabile in qualsiasi browser privo di un blocco completo dei cookie di terze parti ed è anche sperimentabile in pratica con il proprio browser, con una demo live online realizzata da Robin Linus nel 2016.
Il blocco totale dei cookie third-party porta poi altri vantaggi quali l’inibizione degli attacchi cross-site request forgery, rimuove la possibilità di utilizzare un dominio ausiliario di terze parti per l’identificazione dell’utente e semplifica la vita agli sviluppatori.
Un blocco che semplifica la vita agli sviluppatori web? Potrebbe sembrare contro-intuitivo, ma non lo è. Ora diventa (o dovrebbe diventare) molto semplice: se uno sviluppatore web ha bisogno dell’accesso a cookie in qualità di entità third-party, può utilizzare la Storage Access API.
Per preservare il supporto per l’integrazione cross-site, il team di WebKit ha introdotto due anni fa la Storage Access API. Questa API fornisce gli strumenti per implementare gli embed autenticati che servono per ottenere l’accesso ai cookie dei servizi first-party, con il controllo obbligatorio da parte dell’utente.
Questa API, informa il team di webKit, sta attualmente attraversando il processo di standardizzazione nel W3C Privacy Community Group.
Per gli sviluppatori web, il suggerimento è di testare frequentemente i propri siti e di consultare tutta la documentazione e le informazioni rilasciate dal team di sviluppo di WebKit.