Pagina 1 di 1
Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: dom set 10, 2023 6:57 pm
da CUB3
Dopo il fallimento di FLoC, Google non demorde e va avanti per la sua strada.
La sua nuova proposta (detta Topic API) è quella di monitorare in locale le pagine visitate e l'attività web in genere per creare una lista di argomenti da trasmettere alle pagine visitate per proporre così pubblicità mirata.
Rimane da vedere se Google potrà attuare il suo piano anche in Europa; di sicuro non potrà senza il consenso dell'utente che però rimane facile bersagli dei dark pattern.
Ricordo infine che Google sta applicando queste innovazione per cercare di fare a meno dei cookie di terze parte e che Chrome è rimasto ormai l'unico browser che non li blocca per impostazione predefinita mentre Firefox, da sempre attento alla privacy degli utenti, li blocca già dal 2019.
Altro interessante riferimento a Google Chrome.
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: mar ott 03, 2023 10:48 am
da CUB3
L'Electronic Frontier Foundation (EFF) ha pubblicato una guida per disattivare la Privacy Sandbox in Google Chrome.
Ovviamente il consiglio principale è quello di lasciar perdere Google Chrome e orientarsi verso browser davvero attenti alla privacy dei propri utenti...
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: mar lug 23, 2024 6:13 pm
da CUB3
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: mer lug 24, 2024 5:02 pm
da ctsvevo
Io davvero non capisco chi è utente avanzato e usa Chrome quale browser di default...
Non è che Mozilla o altri non abbiano difetti, ma Chrome è qualcosa di sconcertante.
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: mer lug 24, 2024 7:12 pm
da Zigul
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 8:06 am
da CUB3
Spezziamone solo un pezzettino dato che questa protezione si rende necessaria soprattutto quando hai un browser sempre loggato su un account e per adesso funziona solo su i siti di Google 
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 10:32 am
da Zigul
In realtà il furto di cookies è pericoloso a prescindere da quanto tempo resti loggato con un account; chiaramente se rimani sempre loggato aumenti il rischio, ma in pratica è questione di secondi, pur non essendo certamente un attacco all'ordine del giorno per gli utenti domestici.
Riguardo i siti coinvolti, mi sembra ragionevole che Google inizi dai suoi, solitamente "abbastanza utilizzati"; nella timeline dichiarano di voler coinvolgere terze parti a partire da Google 129.
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 10:49 am
da CUB3
Nelle specifiche del DBSC, che tu avrai sicuramente letto, è scritto chiaramente che la protezione è contro un malware residente sul computer e che ha come obbiettivo:
Reduce session theft by offering an alternative to long-lived cookie bearer tokens
Altrettanto chiaramente è scrtitto che non protegge da furto di una sessione attiva:
DBSC will not prevent temporary access to the browser session
È quindi evidente che la protezione si rende necessaria soprattutto se si conservano i cookie per mantere un account sempre loggato.
Non dubito che questa protezione, lato server, verrà implementata quanto prima da tutti i provider che hanno intenzione di mantenere attivi i cookie più a lungo possibilie...
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 3:03 pm
da Zigul
CUB3 ha scritto: gio lug 25, 2024 10:49 am
è scritto chiaramente che la protezione è contro un malware residente sul computer
Leggendo con attenzione emerge che non è una protezione da un malware locale, al contrario, DBSC "costringe" (v. "forced" sotto) gli eventuali malware ad agire in locale (se vogliono avere successo), perché se agissero da un altro dispositivo, DBSC li renderebbe inefficaci:
"since malware is forced to act locally and thus becomes easier to detect and mitigate".
Per quanto riguarda
"Reduce session theft by offering an alternative to long-lived cookie bearer tokens"
DBSC è un'alternativa ai "long-lived cookie bearer tokens" proprio perché al momento dell'autenticazione la sessione viene associata (con chiavi crittografiche) al dispositivo e tale associazione è poi controllata:
"DBSC instead allows a website to consolidate the session binding to a few points: At sign-in, it informs the browser that a session starts, which triggers the key creation. [etc.]"
Anche in sessioni brevi, DBSC fa dunque la sua funzione, che inizia al sign-in.
CUB3 ha scritto: gio lug 25, 2024 10:49 am
Altrettanto chiaramente è scrtitto che non protegge da furto di una sessione attiva:
In realtà troviamo scritto che (corsivo mio)
"DBSC will not prevent temporary access to the browser session while the attacker is resident on the user’s device"
Come detto sopra: se l'attacco avviene localmente, DBSC non si oppone perché viene rispettato il legame fra dispositivo e sessione autenticata (ed un furto di cookie dal medesimo dispositivo credo sia piuttosto raro o comunque DBSC non è pensato per contrastare quello).
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 4:43 pm
da CUB3
Scusa Zigul, ribatto per l’ultima volta.
Il DBSC non è creato con lo scopo di evitare il riutilizzo su un altro dispositivo dei cookie di sessione esfiltrati, ad esempio, da un malware che agisce sullo stesso computer dove risiede il browser? È poi vero che non ha efficacia contro un malware che agisce localmente durante una sessione attiva?
Se è così non pensi che a giovare della protezione del DBSC siano soprattutto (non unicamente!) gli account che mantengono attivo il login dell’utente per molto tempo e tra una sessione e l’altra di navigazione?
Re: Amichevole promemoria: Google Chrome ti spia e presto forse ancora di più
Inviato: gio lug 25, 2024 5:37 pm
da Zigul
Rileggendomi, sono stato effettivamente poco chiaro, provo a spiegarmi meglio: DBSC evita che i cookie rubati sul PC-vittima possano essere utilizzati sul PC-attaccante, a prescindere da quanto duri la sessione autenticata: il furto richiede pochi secondi; se il PC-vittima è compromesso, non servono sessioni lunghe per il furto.
Ovviamente chiudere le sessioni autenticate facendo il logout, cancellare i cookie, etc. sono buone abitudini e, come dicevo sopra, "se rimani sempre loggato aumenti il rischio", ma la protezione del DBSC è efficace tanto su sessioni brevi che su sessioni lunghe. In fondo è come la ruota di scorta, non sai mai se ti servirà in un viaggio lungo all'estero o quando vai a comprare il pane vicino casa, l'importante è averla (e che funzioni).
L'unico modo che l'attaccante ha per aggirare la protezione del DBSC, sarebbe agire localmente sul PC-vittima, non solo ovviamente per rubare i cookie (tramite malware o altro), ma anche utilizzandoli direttamente nello stesso PC da cui li ruba. In pratica un malware o un attaccante dovrebbero rubare i cookie dal tuo Firefox e poi avviare, sempre nella tua stessa macchina, un'altra sessione di Firefox (o forse anche un altro browser?) e da lì far danni, senza che tu te ne accorga.
Solitamente invece il furto di cookie è finalizzato a clonare sessioni dal PC-vittima al PC-attaccante; DBSC impedisce esattamente questo.