Pare che Facebook tenga traccia dei nostri movimenti online costantemente, e che nemmeno uscire dal nostro account sia sufficiente a evitarlo. Lo ha fatto sapere il ricercatore Nik Cubrilovic, che ha analizzato i cookie del social network, e scoperto che fanno molto più di quanto sarebbe lecito aspettarsi.
La nuova scoperta aggiunge preoccupazioni a quelle suscitate dalla novità introdotte da Facebook la settimana scorsa, e che potenzialmente permettono la condivisione online di qualsiasi elemento senza controllo da parte dell'utente. Una cosa che Facebook chiama frictionless sharing, condivisione senza ostacoli, ma che per alcuni osservatori è piuttosto spaventosa.
Attenzione a quello che pubblicate online (The Joy of Tech)
Tornando ai cookie, Cubrilovic ha scoperto che anche dopo essere usciti da Facebook (logout) il browser continua a comunicare con il social network, che così può conoscere tutte le pagine che visitiamo.
Quella che segue è la risposta del server a una richiesta di logoout, con le parti in corsivo evidenziate da Cubrilovic stesso:
E questa è una richiesta a facebook.com come utente non registrato, ma dallo stesso browser usato in precedenza:
C'è ancora l'identificazione dell'utente (act), con l'unica differenza che è indicato il diverso stato di registrazione.
Cosa significa tutto ciò? Che se visitiamo una pagina web qualsiasi dotata di un plug-in facebook, come www.tomshw.it, il browser manderà una richiesta a facebook.com, e il social network potrà registrare la visita a tale pagina; questo accade che abbiate eseguito l'accesso oppure no. L'unica differenza è che con l'accesso eseguito potrete condividere attivamente dei contenuti (tasto mi piace), ma Facebook riceve le stesse informazioni.
Il fatto sorprendente è che Cubrilovic ha scoperto il problema quasi un anno fa, comunicandolo prontamente a Facebook (14 novembre 2010). Sta ancora aspettando una risposta, e visto che la situazione non è cambiata, ha deciso di rendere pubbliche le informazioni. Da parte del ricercatore un comportamento apparentemente impeccabile.
Privacy e Facebook, un matrimonio che s'ha da fare
Due le soluzioni possibili per l'utente. Cancellare i cookie di Facebook dal browser - un'operazione fin troppo complessa per un utente non esperto, e tediosa per chi sa farlo - oppure usare un browser dedicato per la navigazione "non Facebook". Varrebbe la pena di analizzare il comportamento dei vari browser in "modalità anonima", ma per ora ipotizziamo che risolvano il problema.
Al momento c'è la risposta di un ingegnere di Facebook, pubblicata come commento alla notizia apparsa su un sito statunitense. Si chiama Arturo Bejar, e spiega che "i cookie logged out sono usati per sicurezza e protezione, come: identificare spammer e phiser, capire se qualcuno non autorizzato sta cercando di accedere al tuo account, aiutarti a recuperarlo se qualcuno te lo ruba, disabilitare la registrazione di un utente troppo giovane se prova a creare un nuovo account con informazioni false, usare funzioni di sicurezza avanzate come l'autenticazione in due passi (con SMS) e identificare computer pubblici per scoraggiare l'uso della funzione rimani connesso".
"NON è quello che sembra!". Certo Penny, non ne dubitiamo.
Bejar sottolinea anche che non si usano i cookie per tracciare il comportamento dell'utente, con lo scopo di mostrare annunci pubblicitari più mirati o per vendere informazioni ad altri. I dati inoltre vengono cancellati dopo un massimo di 90 giorni, dopo i quali restano solo una massa statistica di dati anonimi.
Non c'è ragione di dubitare di tale risposta, ma non ci sembra particolarmente convincente. Bejar dopotutto dice che è tutto vero, ma non è come pensate. In ogni caso dovreste tenere a mente che se visitate siti imbarazzanti che hanno una qualche integrazione con Facebook, Zuckerberg lo sa.