Sarah andava fiera del suo setup di privacy. Bloccava tutti i cookie, usava religiosamente la modalità incognito, cancellava i dati di navigazione ogni giorno e teneva attive tre estensioni di privacy diverse. Eppure il suo sito di shopping preferito riusciva comunque a riconoscerla, le rimostrava i prodotti che aveva guardato giorni prima, si ricordava le sue preferenze e perfino adattava i prezzi in base alle visite precedenti.
Come? Browser fingerprinting. Il tuo browser trasmette in continuazione una combinazione unica di risoluzione dello schermo, font installati, fuso orario, GPU e decine di altri punti di dati. Messi insieme formano una firma così specifica che circa l'83 % dei browser è identificabile individualmente senza nemmeno un cookie.
Che cos'è il browser fingerprinting?
Immagina di entrare in un negozio con una combinazione inconfondibile: cappello viola, giacca verde, scarpe gialle, ombrello rosso, borsa blu. Anche se non dici mai il tuo nome, chiunque abbia visto quella combinazione ti riconosce la volta dopo. Il browser fingerprinting funziona allo stesso modo. I siti non devono salvare niente sul tuo dispositivo, leggono semplicemente le caratteristiche uniche che il tuo browser espone e le fondono in una firma.
È questa la differenza di fondo tra cookie e fingerprint. I cookie sono piccoli file che il sito salva sul tuo computer. Puoi bloccarli, cancellarli o disattivarli, e decidi tu quando esistono. I fingerprint si ricavano dalla configurazione del tuo sistema, non vengono salvati sul dispositivo. Il tuo non lo puoi cancellare, e il browser rivela automaticamente la maggior parte delle sue componenti ogni volta che carichi una pagina.
È un tema che pesa sempre di più, anno dopo anno. I grandi browser stanno abbandonando i cookie di terze parti e gli utenti sono sempre più bravi a bloccare i tracker. Al fingerprinting non interessa nulla di tutto ciò. Funziona qualunque siano le tue impostazioni dei cookie, funziona in incognito e resiste fra sessioni private.
Gli oltre 20 punti di dati che ti identificano
Il tuo browser rivela automaticamente un sacco di informazioni senza chiederti il permesso. Le quattro grandi categorie sono display e grafica, configurazione di sistema, dettagli del browser e preferenze utente.
Display e grafica copre la risoluzione dello schermo e la profondità di colore, produttore e renderer della GPU, capacità WebGL, il fingerprint Canvas (un hash di come il tuo dispositivo disegna un'immagine specifica), il numero di monitor e il loro orientamento.
Configurazione di sistema aggiunge sistema operativo e versione, architettura CPU, RAM, stato della batteria e i sensori del dispositivo che il tuo browser espone.
Dettagli del browser porta in dote tipo e versione, plugin installati, tipi MIME supportati, estensioni rilevabili e l'impostazione Do Not Track.
Preferenze utente contribuisce con preferenze linguistiche, fuso orario, font installati (ne sono rilevabili più di 300), il fingerprint di AudioContext e la presenza di LocalStorage e SessionStorage.
E qui arriva la parte scomoda. Nessun singolo punto di dati è davvero unico. Milioni di persone usano Chrome su Windows con schermi 1920×1080. Ma quando combini venti o più di queste caratteristiche, l'intersezione diventa incredibilmente specifica. Gli studi mostrano che bastano 8-10 attributi perché il tuo fingerprint di browser sia unico fra milioni.
Come lavorano gli script avanzati di fingerprinting
Gli script di tracking moderni vanno ben oltre la lettura dei semplici header del browser. Sondano attivamente il tuo dispositivo, disegnano grafiche invisibili e confrontano micro-ritardi per costruire una firma che sopravvive alla navigazione privata, alle VPN e alla maggior parte dei tracker blocker.
Rendering Canvas e WebGL. Lo script chiede al tuo browser di disegnare grafiche nascoste via Canvas o WebGL. Piccolissime differenze nella tua GPU, nei driver e nell'anti-aliasing creano un hash unico, in pratica un fingerprint hardware. Le estensioni che bloccano l'accesso al Canvas rompono spesso siti legittimi, per cui nella pratica l'isolamento è una difesa migliore.
Segnali AudioContext e batteria.Anche il modo in cui il tuo dispositivo elabora un'onda sonora impercettibile, o come riporta lo stato della batteria, rivela differenze di fabbricazione. I tracker aggregano questi micro-segnali per stabilizzare il tuo fingerprint quando altri attributi cambiano.
Profilazione comportamentale e di performance. Alcuni script cronometrano la velocità con cui il tuo browser esegue il codice, fa scroll e carica i font. La baseline che ne esce si comporta come un fingerprint che resta anche se blocchi gli attributi statici. L'unica difesa affidabile è passare a un ambiente nuovo.
Correlazione fra sessioni. I fingerprinter combinano la tua firma di dispositivo con lo stato di login, il range di IP e le abitudini di navigazione. Anche quando cambia un attributo, gli algoritmi di correlazione riconnettono i visitatori ricorrenti con oltre il 90 % di precisione. Per questo consigli come «cambia il tuo user agent» non funzionano: cambiano un segnale fra decine.
Il fingerprinting è una strategia a strati. Gli attaccanti danno per scontato che bloccherai alcune tecniche, quindi ne raccolgono tante. L'unica contromossa affidabile è cambiare del tutto ambiente, in modo che il fingerprint che costruiscono non sia riconducibile a te. Per capire meglio perché le modalità private non bastano, vedi Incognito Mode Is a Lie.
Quanto è unico il tuo fingerprint?
La ricerca della Electronic Frontier Foundation su milioni di browser ha tirato fuori qualche numero che vale la pena ricordare.
dei browser è identificabile in modo univoco
unicità media del fingerprint
re-identificabili dopo la modifica degli attributi
Diciotto bit di entropia significano un'unicità di 1 su 262.144. Con miliardi di utenti online, in teoria migliaia condividono il tuo fingerprint esatto, ma le aziende di tracking lo combinano con l'indirizzo IP e le abitudini di navigazione per restringere il cerchio fino a te.
Testa il tuo fingerprint in cinque minuti
Il modo più rapido per capire il problema è misurarlo di persona. Questo flusso prende pochi minuti e non richiede strumenti particolari.
- 1
Vai su un test di fingerprint serio
Prova coveryourtracks.eff.org o browserleaks.com. Entrambi girano localmente nel tuo browser e mostrano quello che vedrebbe un terzo. - 2
Annota il punteggio di unicità e gli attributi
Fai attenzione a tutto ciò che spicca: font installati, dettagli hardware precisi, valori di AudioContext. - 3
Rifai il test dentro Browser.lol
Lancia una sessione nuova e ripeti lo stesso test. Vedrai un fingerprint del tutto diverso, che sparisce quando la sessione finisce. - 4
Confronta i due report
Tutto quello che resta identico fra gli ambienti è legato alla tua rete, di solito al tuo IP. Una VPN copre questo. L'isolamento copre il resto.
Chi ti fa il fingerprinting, e perché
Il fingerprinting non è un'azienda, è un'industria. Quattro gruppi dominano. I network pubblicitari come Google, Meta e Amazon ti tracciano attraverso milioni di siti per costruire profili pubblicitari; il tuo fingerprint ti segue da una domain all'altra. I fornitori di analytics (Google Analytics, Hotjar, Mixpanel) lo usano per contare visitatori unici anche con i cookie bloccati, e vendono i dati ai proprietari dei siti.
I sistemi antifrode di banche e siti eCommerce usano il fingerprinting in modo legittimo, per rilevare login sospetti. Un cambio improvviso di fingerprint fa scattare gli avvisi di sicurezza. È un caso d'uso ragionevole, che però crea comunque un registro permanente delle caratteristiche del tuo dispositivo legato alla tua identità.
E poi ci sono i data broker (Acxiom, Experian, Oracle) che comprano e rivendono dati di dispositivo. Il tuo fingerprint diventa parte di un dossier venduto centinaia di volte a marketer, assicuratori e datori di lavoro.
Le difese che funzionano davvero
Tanta gente si crede protetta solo perché usa strumenti di privacy. Ecco la verità scomoda su cosa fa davvero ciascuno contro il fingerprinting.
| Metodo di privacy | Blocca i cookie | Blocca il fingerprinting |
|---|---|---|
| Modalità incognito / privata | Sì | No |
| Cancellazione dei dati di navigazione | Sì | No |
| Blocker di cookie | Sì | No |
| VPN | Parziale | No |
| Estensioni di privacy | Sì | Parziale |
| Tor Browser | Sì | Sì |
| Browser.lol (isolamento) | Sì | Sì (fingerprint nuovo) |
Tor Browser è progettato apposta per battere il fingerprinting facendo in modo che tutti gli utenti si assomiglino. Funziona, ma è lento, molti siti lo bloccano ed è eccessivo per la navigazione normale. Non lo useresti per fare shopping su Amazon o controllare i social.
Il punto vero è questo: non puoi nascondere il tuo fingerprint continuando a navigare come al solito. Puoi però usarne uno diverso ogni volta. Un browser usa e getta in ambiente isolato ti regala a ogni avvio una firma completamente nuova, senza legami con la tua identità reale o con le altre sessioni.
Riprenditi la privacy
Il browser fingerprinting è un cambio di rotta vero nel modo in cui funziona il tracking. Il vecchio prontuario (blocca i cookie, usa l'incognito, cancella i dati) era pensato per i cookie, non per l'identificazione basata sul dispositivo. Sul web di oggi, dove il fingerprinting fa da padrone, quel prontuario non basta più.
Quello che funziona è un approccio a strati. La navigazione di tutti i giorni resta sul browser abituale con i tracker blocker; un po' di tracking lo accetti e lo riduci dove puoi. Le attività più delicate (ricerca, shopping, analisi della concorrenza) le fai in una sessione isolata, così il fingerprint non risale a te. Per il massimo anonimato, unisci isolamento e VPN: l'isolamento blocca il fingerprinting, la VPN nasconde il tuo IP.
Vuoi un vero desktop su qualunque dispositivo?
Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.
Avvia il tuo desktop nel browserNiente download • Funziona ovunque
