Ancora fingerprinting

Dedico un altro post al fingerprinting, ossia quella tecnica che permette di identificare un utente sulla base dei font installati.

Ho scoperto che per evitare di dare troppe informazioni ai siti che visitiamo, Firefox ha bloccato di default la possibilità per le pagine web di attingere i font installati sul computer dell’utente, ad eccezione dei più diffusi font di sistema. 

Poniamo di avere una pagina che dichiara: “font-family: PT Sans, helvetica, arial, sans-serif”. In teoria il browser dovrebbe cercare in memoria il primo font della lista. Se non lo trova dovrebbe passare al secondo, e così via fino all’ultimo, che in questo sarebbe il senza-grazie di default.

Un tempo non sarebbe stato possibile attingere i font altrove, ma coi Css si può fornire anche l’indirizzo web a cui prendere il file che serve.

Impostando lo stile della pagina, si può scrivere:

@font-face{font-family:'PT Sans';font-style:normal;font-weight:400;src:local("PT Sans"),local("PTSans-Regular"),url(/themes/custom/interno_theme/fonts/ptsans.woff) format("woff");}

In questo modo il browser sa che deve prima cercare in memoria un carattere chiamato PT Sans, in mancanza del quale ne cerca uno che si chiami PTSans-Regular, e se non trova anche questo lo deve cercare all’indirizzo indicato, che è una sottocartella del sito web in cui si trova la pagina.

Questo codice è preso paro paro dal sito del Ministero dell’Interno italiano.

Ma questo è il risultato in due diversi browser: Microsoft Edge e Mozilla Firefox.

 

La pagina web è la stessa, senza modifiche, aperta contemporaneamente su due diversi browser sullo stesso computer. La differenza è che mentre Edge, a sinistra, attinge il font dalla memoria del computer (una versione che ho rovinato apposta per distinguerla), Firefox, a destra, ignora tutti i font locali e va a prendere direttamente quello presente sul server.

Entrambi i browser sono installati sullo stesso computer. Li ho aperti contemporaneamente e ho digitato l’indirizzo del sito.

Però mentre Edge ha preso la versione del PT Sans che ho installato sul computer, in cui ho fatto una modifica alla lettera a per riconoscerlo, Firefox ha preso direttamente la versione presente sul sito, ignorando le due istruzioni “local” che ha trovato in precedenza.

Sul web esistono vari strumenti per testare le impostazioni del proprio computer.

Uno di questi è sul sito Cover Your Tracks, dell’Electronic Frountier Foundation, che esegue il test e propone tutte le informazioni che riesce a trovare.

Facendo la prova con Edge mi dice che non ho la protezione dal tracking, né dai tracking ads né dagli invisible trackings. Con Firefox mi dice che ho la protezione in questi due settori, ma comunque ho una fingerprint unica.

Nella scheda dedicata ai font, in Firefox viene rilevato un numero minore di font di sistema, una ventina contro una trentina contati in Edge.

Un altro sito web si chiama BrowserLeaks. La pagina dà alcune spiegazioni in inglese e inizia ad eseguire le valutazioni automaticamente, senza chiedere un’autorizzazione preventiva. Applica due metodi, quello delle metriche e quello dei glifi. 

Il secondo restituisce solo numeri, il primo invece restituisce una lista di font. Oltre un centinaio di nomi, in quasi ottanta gruppi diversi. Con Firefox.

E con Edge? Il risultato è diverso, ma è impressionante: oltre 300 fonts, in più di 250 categorie diverse. Nella lista leggo i nomi non soltanto dei font di Office, ma anche di tutti quelli che ho preso da Google Fonts.

Che sono parecchi, in varie categorie diverse, e quindi si può benissimo immaginare che ho lasciato sul sito una impronta unica al mondo, con questo browser.

In about:config di Firefox ci sono parecchie opzioni che possono essere impostate per bloccare o sbloccare certe misure di sicurezza. La visibilità dei font può essere impostata a 1 (solo font di sistema base), 2 (anche font dai pacchetti per lingue opzionali), 3 (anche font installati dall’utente).

Io ce l’ho a 3, quindi il browser dovrebbe vedere tutti i font. Però da qualche parte vedo scritto “true” in voci che contengono la parola “fingerprinting” e “block” o “resist”, quindi immagino che il blocco parta da lì.

Dice il supporto di Mozilla di fare attenzione a cambiare le impostazioni che si trovano in questa sezione perché si rischia di causare problemi indesiderati nella visualizzazione delle pagine web (“all kind of weird/unexpected issues”).