Dopo il fallimento di FLoC, Google non demorde e va avanti per la sua strada.
La sua nuova proposta (detta Topic API) è quella di monitorare in locale le pagine visitate e l'attività web in genere per creare una lista di argomenti da trasmettere alle pagine visitate per proporre così pubblicità mirata.
Rimane da vedere se Google potrà attuare il suo piano anche in Europa; di sicuro non potrà senza il consenso dell'utente che però rimane facile bersagli dei dark pattern.
Io davvero non capisco chi è utente avanzato e usa Chrome quale browser di default...
Non è che Mozilla o altri non abbiano difetti, ma Chrome è qualcosa di sconcertante.
"Ask Me Anything": il Direttore di Thunderbird risponde alle vostre domande:
https://forum.mozillaitalia.org/index.php?topic=79685.0
Spezziamone solo un pezzettino dato che questa protezione si rende necessaria soprattutto quando hai un browser sempre loggato su un account e per adesso funziona solo su i siti di Google
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
In realtà il furto di cookies è pericoloso a prescindere da quanto tempo resti loggato con un account; chiaramente se rimani sempre loggato aumenti il rischio, ma in pratica è questione di secondi, pur non essendo certamente un attacco all'ordine del giorno per gli utenti domestici.
Riguardo i siti coinvolti, mi sembra ragionevole che Google inizi dai suoi, solitamente "abbastanza utilizzati"; nella timeline dichiarano di voler coinvolgere terze parti a partire da Google 129.
Nelle specifiche del DBSC, che tu avrai sicuramente letto, è scritto chiaramente che la protezione è contro un malware residente sul computer e che ha come obbiettivo:
Reduce session theft by offering an alternative to long-lived cookie bearer tokens
Altrettanto chiaramente è scrtitto che non protegge da furto di una sessione attiva:
DBSC will not prevent temporary access to the browser session
È quindi evidente che la protezione si rende necessaria soprattutto se si conservano i cookie per mantere un account sempre loggato.
Non dubito che questa protezione, lato server, verrà implementata quanto prima da tutti i provider che hanno intenzione di mantenere attivi i cookie più a lungo possibilie...
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
CUB3 ha scritto: gio lug 25, 2024 10:49 am
è scritto chiaramente che la protezione è contro un malware residente sul computer
Leggendo con attenzione emerge che non è una protezione da un malware locale, al contrario, DBSC "costringe" (v. "forced" sotto) gli eventuali malware ad agire in locale (se vogliono avere successo), perché se agissero da un altro dispositivo, DBSC li renderebbe inefficaci:
"since malware is forced to act locally and thus becomes easier to detect and mitigate".
Per quanto riguarda
"Reduce session theft by offering an alternative to long-lived cookie bearer tokens"
DBSC è un'alternativa ai "long-lived cookie bearer tokens" proprio perché al momento dell'autenticazione la sessione viene associata (con chiavi crittografiche) al dispositivo e tale associazione è poi controllata:
"DBSC instead allows a website to consolidate the session binding to a few points: At sign-in, it informs the browser that a session starts, which triggers the key creation. [etc.]"
Anche in sessioni brevi, DBSC fa dunque la sua funzione, che inizia al sign-in.
CUB3 ha scritto: gio lug 25, 2024 10:49 am
Altrettanto chiaramente è scrtitto che non protegge da furto di una sessione attiva:
In realtà troviamo scritto che (corsivo mio)
"DBSC will not prevent temporary access to the browser session while the attacker is resident on the user’s device"
Come detto sopra: se l'attacco avviene localmente, DBSC non si oppone perché viene rispettato il legame fra dispositivo e sessione autenticata (ed un furto di cookie dal medesimo dispositivo credo sia piuttosto raro o comunque DBSC non è pensato per contrastare quello).
Il DBSC non è creato con lo scopo di evitare il riutilizzo su un altro dispositivo dei cookie di sessione esfiltrati, ad esempio, da un malware che agisce sullo stesso computer dove risiede il browser? È poi vero che non ha efficacia contro un malware che agisce localmente durante una sessione attiva?
Se è così non pensi che a giovare della protezione del DBSC siano soprattutto (non unicamente!) gli account che mantengono attivo il login dell’utente per molto tempo e tra una sessione e l’altra di navigazione?
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Rileggendomi, sono stato effettivamente poco chiaro, provo a spiegarmi meglio: DBSC evita che i cookie rubati sul PC-vittima possano essere utilizzati sul PC-attaccante, a prescindere da quanto duri la sessione autenticata: il furto richiede pochi secondi; se il PC-vittima è compromesso, non servono sessioni lunghe per il furto.
Ovviamente chiudere le sessioni autenticate facendo il logout, cancellare i cookie, etc. sono buone abitudini e, come dicevo sopra, "se rimani sempre loggato aumenti il rischio", ma la protezione del DBSC è efficace tanto su sessioni brevi che su sessioni lunghe. In fondo è come la ruota di scorta, non sai mai se ti servirà in un viaggio lungo all'estero o quando vai a comprare il pane vicino casa, l'importante è averla (e che funzioni).
L'unico modo che l'attaccante ha per aggirare la protezione del DBSC, sarebbe agire localmente sul PC-vittima, non solo ovviamente per rubare i cookie (tramite malware o altro), ma anche utilizzandoli direttamente nello stesso PC da cui li ruba. In pratica un malware o un attaccante dovrebbero rubare i cookie dal tuo Firefox e poi avviare, sempre nella tua stessa macchina, un'altra sessione di Firefox (o forse anche un altro browser?) e da lì far danni, senza che tu te ne accorga.
Solitamente invece il furto di cookie è finalizzato a clonare sessioni dal PC-vittima al PC-attaccante; DBSC impedisce esattamente questo.
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.
