Google Chrome e Firefox, parliamo di Sicurezza durante la navigazione anonima o in incognito
Giuseppe Di Grande Aggiornato il 15/06/2020 20:15Oggi la sicurezza è un argomento discusso da tutti, in particolar modo dai produttori dei browser per la navigazione web. Per affrontare il tema sicurezza durante la navigazione web, voglio mostrarvi quali dati un browser trasferisce a un sito, concentrandomi su Firefox e Google Chrome, due dei browser più utilizzati al mondo, e sulla possibilità che essi danno di navigare in anonimo o in incognito.
Anonimo in questo caso cosa significa? Il significato del termine potrebbe ingannare, perché bisogna innanzitutto comprendere quali dati un browser utilizza quando un utente naviga tra i siti della rete e quali di essi omette quando si utilizza la navigazione anonima.
Per effettuare questa indagine utilizzo le mie conoscenze di Programmazione lato server e faccio fare un po' da cavia al mio sito, che raggiungerò in tre modi diversi: navigazione normale, navigazione anonima di Firefox e navigazione in incognito di Google Chrome.
Navigazione normale
Ho creato una banale paginetta lato server. Questa Pagina mi elenca tutte le variabili registrate nel server quando un browser lo contatta. Alcune di queste variabili sono fornite proprio dal browser, altre dal protocollo http, altre ancora sono proprie del server.
Si può subito notare che il mio sito gira su IIS 8.5, quindi è in tecnologia ASP.Net, caso mai ci fossero stati dei dubbi. Si notano i percorsi relativi e assoluti in cui è ospitato. Poi ci sono altre variabili che ora andiamo a vedere.
Intanto vi dico subito che l'indirizzo Ip non può essere mai anonimizzato, a meno che non si utilizzino tecniche troppo complesse per un comune utente, fatte di proxy e catene di proxy che anonimizzano la navigazione.
Queste di seguito sono tutte le variabili registrate nella request ricevuta dal browser. In altre parole, contattando le pagine di un sito, ciò che il server sa di voi sono esattamente queste cose, compresi i cookie. Nei cookie c'è dentro esattamente quello che voi avete volontariamente fornito al sito, quindi un sito non può carpirvi alcun dato che voi non gli abbiate già inviato. In più, un sito non può leggere i cookie di altri siti, perché è il browser che insieme alla richiesta di una Pagina glieli invia, e gli invia solo quelli dedicati a se stesso. Per esemplificare, DiGrande.it non può conoscere in alcun modo i cookie di PincoPalla.com
APPL_MD_PATH : /LM/W3SVC/595/ROOT
APPL_PHYSICAL_PATH : D:\inetpub\webs\digrandeit\
AUTH_TYPE :
AUTH_USER :
AUTH_PASSWORD :
LOGON_USER :
REMOTE_USER :
CERT_COOKIE :
CERT_FLAGS :
CERT_ISSUER :
CERT_KEYSIZE :
CERT_SECRETKEYSIZE :
CERT_SERIALNUMBER :
CERT_SERVER_ISSUER :
CERT_SERVER_SUBJECT :
CERT_SUBJECT :
CONTENT_LENGTH : 0
CONTENT_TYPE :
GATEWAY_INTERFACE : CGI/1.1
HTTPS : off
HTTPS_KEYSIZE :
HTTPS_SECRETKEYSIZE :
HTTPS_SERVER_ISSUER :
HTTPS_SERVER_SUBJECT :
INSTANCE_ID : 595
INSTANCE_META_PATH : /LM/W3SVC/595
LOCAL_ADDR : 31.11.33.74
PATH_INFO : /App_Data/WebSite/Standard/server.aspx
PATH_TRANSLATED : D:\inetpub\webs\digrandeit\App_Data\WebSite\Standard\server.aspx
QUERY_STRING :
REMOTE_ADDR : 79.52.111.7
REMOTE_HOST : 79.52.111.7
REMOTE_PORT : 58909
REQUEST_METHOD : GET
SCRIPT_NAME : /App_Data/WebSite/Standard/server.aspx
SERVER_NAME : www.digrande.it
SERVER_PORT : 80
SERVER_PORT_SECURE : 0
SERVER_PROTOCOL : HTTP/1.1
SERVER_Software : Microsoft-IIS/8.5
URL : /App_Data/WebSite/Standard/server.aspx
HTTP_CONNECTION : keep-alive
HTTP_ACCEPT : text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
HTTP_ACCEPT_ENCODING : gzip, deflate
HTTP_ACCEPT_LANGUAGE : it-IT,it;q=0.9,en-US;q=0.8,en;q=0.7
HTTP_COOKIE : ASP.NET_SessionId=ymidrku5ujgpqyxygec4faox; Language=it
HTTP_HOST : www.digrande.it
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1; ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
HTTP_UPGRADE_INSECURE_REQUESTS : 1
In particolar modo si noti la variabile "HTTP_COOKIE", è quella che contiene i cookie passati dal browser al sito. Poi la variabile "REMOTE_ADDR" l'indirizzo Ip di chi sta navigando nel sito. Una volta una persona mi intimò di cancellare il suo indirizzo Ip dal mio sito! Il mio sito non registrava il suo indirizzo, semplicemente mostrava al volo l'indirizzo Ip che stava navigando una Pagina. L'indirizzo Ip è un dato sempre presente, automaticamente. Se siete gelosi del vostro Ip la soluzione è non utilizzare internet. Tutti gli altri dati, quelli trasferiti dal browser, sono in qualche modo camuffabili.
Navigazione anonima con Google Chrome
Per navigare in incognito con Google Chrome trovate il comando nel menù, oppure premendo Ctrl+Shift+N. Quando si apre una finestra in incognito di Google Chrome, il browser fornisce questa spiegazione.
Hai attivato la navigazione in incognito
Ora puoi navigare in privato. Le altre persone che usano questo dispositivo non vedranno le tue attività, ma i download e i preferiti verranno salvati.
Chrome non salverà le seguenti informazioni:
Cronologia di navigazione
Cookie e dati dei siti
Informazioni inserite nei moduli
La tua attività potrebbe comunque essere visibile:
Ai siti web visitati
Al tuo datore di Lavoro o alla tua scuola
Al tuo provider di servizi Internet
È chiaro? Google Chrome vi dice esattamente cosa significa navigazione in incognito. La navigazione anonima si concentra a non lasciare traccia di quello che fate solo nel computer che state utilizzando. Lato server il discorso è quasi simile alla navigazione normale. In sostanza ciò che fate non sarà salvata nella cronologia del browser. Inoltre il browser non utilizzerà i cookie, così come vediamo qui di seguito.
Questa che segue è quasi la stessa lista di variabili di prima, però navigando la stessa Pagina con la funzionalità di navigazione in incognito di Google Chrome. Ciò che si nota è che l'unica riga che non appare è quella dei cookie. Il browser quando navigate in anonimo omette solo di inviare i cookie al sito.
APPL_MD_PATH : /LM/W3SVC/595/ROOT
APPL_PHYSICAL_PATH : D:\inetpub\webs\digrandeit\
AUTH_TYPE :
AUTH_USER :
AUTH_PASSWORD :
LOGON_USER :
REMOTE_USER :
CERT_COOKIE :
CERT_FLAGS :
CERT_ISSUER :
CERT_KEYSIZE :
CERT_SECRETKEYSIZE :
CERT_SERIALNUMBER :
CERT_SERVER_ISSUER :
CERT_SERVER_SUBJECT :
CERT_SUBJECT :
CONTENT_LENGTH : 0
CONTENT_TYPE :
GATEWAY_INTERFACE : CGI/1.1
HTTPS : off
HTTPS_KEYSIZE :
HTTPS_SECRETKEYSIZE :
HTTPS_SERVER_ISSUER :
HTTPS_SERVER_SUBJECT :
INSTANCE_ID : 595
INSTANCE_META_PATH : /LM/W3SVC/595
LOCAL_ADDR : 31.11.33.74
PATH_INFO : /App_Data/WebSite/Standard/server.aspx
PATH_TRANSLATED : D:\inetpub\webs\digrandeit\App_Data\WebSite\Standard\server.aspx
QUERY_STRING :
REMOTE_ADDR : 79.52.111.7
REMOTE_HOST : 79.52.111.7
REMOTE_PORT : 61746
REQUEST_METHOD : GET
SCRIPT_NAME : /App_Data/WebSite/Standard/server.aspx
SERVER_NAME : www.digrande.it
SERVER_PORT : 80
SERVER_PORT_SECURE : 0
SERVER_PROTOCOL : HTTP/1.1
SERVER_Software : Microsoft-IIS/8.5
URL : /App_Data/WebSite/Standard/server.aspx
HTTP_CONNECTION : keep-alive
HTTP_ACCEPT : text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
HTTP_ACCEPT_ENCODING : gzip, deflate
HTTP_ACCEPT_LANGUAGE : it-IT,it;q=0.9,en-US;q=0.8,en;q=0.7
HTTP_HOST : www.digrande.it
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1; ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
HTTP_UPGRADE_INSECURE_REQUESTS : 1
Navigazione anonima con Firefox
Con Firefox la navigazione anonima è del tutto simile a quella di Google Chrome. Per Firefox si trova sempre nel menù principale, oppure premendo Ctrl+Shift+P. Firefox quando si apre una finestra di navigazione anonima dice questo.
Ti trovi in una finestra anonima
Firefox cancella la cronologia di ricerca e navigazione quando si chiude l’applicazione o vengono chiuse tutte le finestre e schede in Navigazione anonima.
Nonostante questa modalità non ti renda completamente anonimo nei confronti dei siti web o del tuo fornitore di servizi internet, si tratta comunque di
uno strumento utile per impedire ad altri utilizzatori di questo computer di ottenere informazioni sulla tua attività online.
Miti da sfatare sulla navigazione anonima
Qui di seguito le variabili utilizzando Firefox, del tutto simili a quelli di Google Chrome.
APPL_MD_PATH : /LM/W3SVC/595/ROOT
APPL_PHYSICAL_PATH : D:\inetpub\webs\digrandeit\
AUTH_TYPE :
AUTH_USER :
AUTH_PASSWORD :
LOGON_USER :
REMOTE_USER :
CERT_COOKIE :
CERT_FLAGS :
CERT_ISSUER :
CERT_KEYSIZE :
CERT_SECRETKEYSIZE :
CERT_SERIALNUMBER :
CERT_SERVER_ISSUER :
CERT_SERVER_SUBJECT :
CERT_SUBJECT :
CONTENT_LENGTH : 0
CONTENT_TYPE :
GATEWAY_INTERFACE : CGI/1.1
HTTPS : off
HTTPS_KEYSIZE :
HTTPS_SECRETKEYSIZE :
HTTPS_SERVER_ISSUER :
HTTPS_SERVER_SUBJECT :
INSTANCE_ID : 595
INSTANCE_META_PATH : /LM/W3SVC/595
LOCAL_ADDR : 31.11.33.74
PATH_INFO : /App_Data/WebSite/Standard/server.aspx
PATH_TRANSLATED : D:\inetpub\webs\digrandeit\App_Data\WebSite\Standard\server.aspx
QUERY_STRING :
REMOTE_ADDR : 79.52.111.7
REMOTE_HOST : 79.52.111.7
REMOTE_PORT : 63135
REQUEST_METHOD : GET
SCRIPT_NAME : /App_Data/WebSite/Standard/server.aspx
SERVER_NAME : www.digrande.it
SERVER_PORT : 80
SERVER_PORT_SECURE : 0
SERVER_PROTOCOL : HTTP/1.1
SERVER_Software : Microsoft-IIS/8.5
URL : /App_Data/WebSite/Standard/server.aspx
HTTP_CONNECTION : keep-alive
HTTP_ACCEPT : text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
HTTP_ACCEPT_ENCODING : gzip, deflate
HTTP_ACCEPT_LANGUAGE : it
HTTP_HOST : www.digrande.it
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1; rv:68.0) Gecko/20100101 Firefox/68.0
HTTP_DNT : 1
HTTP_UPGRADE_INSECURE_REQUESTS : 1
Conclusioni
L'anonimato in internet è un Lavoro per hacker. La quasi totalità delle persone naviga le pagine senza conoscere cosa effettivamente i browser trasferiscano o ricevano dai siti. L'indirizzo Ip non è un dato che possiate nascondere o omettere, se fino ad ora credevate che l'Ip fosse una scelta controllabile da voi stessi o dal sito che vi serve le pagine che visitate, fino ad ora siete stati in errore. Ogni pacchetto che viaggia nella rete è contraddistinto da un indirizzo Ip. Un utente può controllare i cookie, la lingua del proprio browser, il nome del browser che sta utilizzando, ecc.. Altri dati vanno al di là di ogni controllo o volontà che voi utenti vogliate esercitare, a meno che in futuro il protocollo di comunicazione non cambi. Quando volete omettere i vostri cookie quando navigate in un sito, o quando volete che non resti traccia della vostra navigazione nella cronologia del browser, utilizzate pure la navigazione anonima che il vostro browser vi offre. Per tutte le altre situazioni navigate sereni, state solo attenti al consenso che date cliccando qua e là, a volte a caso.
Se state per tentare di utilizzare la Pagina server.aspx del mio sito: tranquilli, non esiste più.