“Do Not Track” è pericoloso e inefficace – Nadim Kobeissi

Traduco da “Do Not Track” Dangerous and Ineffective – Nadim Kobeissi

Nel 2009, prima che diventassi seriamente coinvolto nella web security, uno standard chiamato Do Not Track venne proposto, standardizzato nel 2011 dal W3C, ed implementato in Internet Explorer, ed in seguito da Mozilla Firefox e Google Chrome.

Si presume che Do Not Track prevenga il tracciamento, probabilmente a scopo pubblicitario, della vostra attività online da parte dei siti web. Funziona facendo il modo che il vostro browser chieda gentilmente ad ogni sito web che visitate di non impostare cookie traccianti e cose simili.

Questo approccio pone pericolosi e reali problemi ed io non riesco veramente a credere che sia mai stato preso seriamente. Ora che è stato così diffusamente implementato e standardizzato, è diventato una minaccia su come la privacy in Internet viene percepita.

Il problema principale di Do Not Track è che tranquillizza gli utenti creando un senso di riservatezza completamente falso. Do Not Track funziona semplicemente chiedendo ai siti web visitati di non tracciarti – i siti web sono completamente liberi di ignorare questa richiesta, ed in molti casi è impossibile per l’utente accorgersi che le proprie richieste Do Not Track sono state, in realtà, scartate. Pertanto, quando l0utente abilita Do Not Track sul proprio browser, viene portato erroneamente a credere che non verrà più tracciato, anche dal punto di vista della sicurezza, la prevenzione ai tracciamenti che offre Do Not Track è inefficace.

In realtà, sia il motore di ricerca di Google, così come quello di Microsoft (Bing), ignorano le intestazioni Do Not Track nonostante entrambe le aziende abbiamo contribuito all’implementazione di questa caratteristica nei propri browser. Anche Yahoo Search ignora le richieste Do Not Track. Alcuni siti web ti informano gentilmente, comunque, del fatto che la tua richiesta Do Not Track è stata ignorata, e spiegano che questo viene fatto in modo da preservare le entrare che ricevono dalle pubblicità. Ma, di gran lunga, non tutti i siti lo fanno.

Do Not Track non è solo inefficace: è pericoloso, sia verso gli utenti, cullandoli con una falsa speranza di privacy, sia verso la corretta implementazione di una tecnica di protezione della privacy. La riservatezza non si ottiene chiedendo a chi ha il potere di violare la tua privacy di, gentilmente, non farlo – sacrificando così i guadagni delle pubblicità – ma si ottiene implementando delle misure preventive lato client. Per i browser sono disponibili esempi come HTTPS Everywhere della EFF (Electronic Frontiers Foundation), DoNotTrackMe della Abine, AdBlock e via dicendo. Queste sono le misure corresse da adottare da una prospettiva ingegneristica, in quanto tentano di proteggere la tua privacy che al sito web visitato piaccia o meno.

Do Not Track necessita di una seria revisione, sostituzione o semplice rimozione. Così com’è ora, la sua unica funzione è di promettere agli utenti che hanno una piccola o modesta conoscenza dei computer (la maggior parte del mondo) che stanno navigando riservatamente, mentre in realtà li scoraggiano dall’adottare delle reali soluzioni per la loro privacy che funzionino. Gli ingegneri che si occupano di privacy nel web e di sicurezza devono mettersi a discutere seriamente riguardo a questo.

Vedi anche:

• Tails: Debian + Tor live dvd
• Come proteggere la propria privacy, aggirare la censura e navigare velocemente usando software liberi (Tor + Polipo + Privoxy + pdnsd)
• Come proteggere la propria privacy (un’aggiunta)
• Ghostery, Beef Taco, Karma Blocker
• Iniziativa per una rete finalmente libera – FreedomBox
• Duck Duck Go
• Ixquick

È possibile rimuovere tutte le proprie tracce da internet? – Joe Martin

Riporto, da PC Pro.

Vedi anche:

• Siamo prevedibili
• Scroogled
• A primer on information theory and privacy e Panopticlick
• Il netizen è unico e distinguibile
• Nell’acquario di Facebook. La resistibile ascesa dell’anarco-capitalismo
• Luci e ombre di Google
• Il tracciamento scava nel social

Can you remove all trace of yourself from the internet? Joe Martin finds out

Once it’s online, it’s online for good. That’s the lesson many people learn the hard way through social media, as personal messages go public and private photos end up in places they were never intended to be. But although these extreme cases make the headlines, we still put too much of ourselves online every day – and getting that back can be a frustrating task.

We live in an increasingly connected world, where our digital identities are replicated and spread over a thousand servers and services. For the most part, that’s no bad thing; sites such as Facebook are a great way to keep up with friends, while letting Amazon remember your address is a handy time-saver.

The price paid for these conveniences is high, though: we surrender our privacy and information to companies, which can then use this data as they see fit. Most, such as Facebook and Amazon, will typically use the information to send targeted advertising – which is annoying at worst. Less scrupulous services will sell on our details, or cynically manipulate us into staying subscribed for longer.

And those are the ones we know about. Ask yourself this: in all your years online, how many sites and services have you joined… then left behind as the next big thing came along? Do you remember what you posted on that music forum in 2004? Or which services you tried for webmail before Gmail? We’re only human, so it’s natural that we forget these services as we move on to new and better ones. The problem is, they don’t forget us. And just like a drunken Friday night photo, that data can end up in places you never intended it to go. Continua a leggere→

Tor/polipo/privoxy/pdnsd: alcune note

Partendo dalla configurazione precedente, ho notato che, togliendo privoxy dalla catena, c’è un piccolo incremento di velocità. Privoxy crea un piccolo collo di bottiglia.

Cercando in rete, ho trovato una soluzione alternativa, per poter bloccare i banner pubblicitari direttamente con polipo. Il filtraggio, forse, non sarà efficiente come quello di privoxy, ma per molti potrebbe essere sufficiente.

Scaricate la easylist.txt di Adblock Plus, e convertitela usando uno di questi due script adblock2polipo.py (Python), adblock2polipo.rb (Ruby).

es:

./adblock2polipo.rb easylist.txt > forbidden

Un volta fatta la conversione, fate una copia di sicurezza del file /etc/polipo/forbidden e sostituitelo con quello appena creato.

Riavviate polipo.

Ora dovrete puntare il vostro browser o impostare il proxy di default alla porta di polipo (8123), invece che a quella di privoxy (8111). Per maggiori informazioni, fate riferimento alla precedente guida.

Se questa soluzione vi sembra preferibile, non vi resta che stoppare privoxy e toglierlo dai servizi all’avvio.

Aggiornamento 22/6/2012: L’aggiornamento di oggi del pacchetto polipo in ArchLinux, può causare dei problemi. Lo script di avvio richiede la presenza di un file di configurazione mancante. Nell’attesa che il problema venga risolto con un nuovo aggiornamento, pubblico la mia soluzione.

Creare il file /etc/conf.d/polipo.conf contenete

POLIPO_ARGS=' daemonise=true logFile="/var/log/polipo.log"'

Dato che in seguito all’aggiornamento, il demone verrà lanciato come utente nobody, se prima avevamo creato l’utente “polipo” e impostato il proprietario delle varie directory e file come “polipo”, dovremmo fare qualche modifica.

in /etc/rc.d/polipo cambiare la riga 22 da

sudo -u nobody /usr/bin/$daemon_name ${POLIPO_ARGS}

a

sudo -u polipo /usr/bin/$daemon_name ${POLIPO_ARGS}

Lanciare il comando

# chown -R polipo:polipo /var/run/polipo /var/cache/polipo /var/log/polipo.log

Aggiornamento 25/6/2012: In Arch, il pacchetto di polipo è appena stato aggiornato, quindi non è più necessario intervenire. Nel caso l’aveste fatto, dovrete eliminare o rinominare il file polipo.conf creato manualmente, prima di lanciare l’aggiornamento. Rimangono valide le istruzioni per l’esecuzione del demone con un utente dedicato, ma da quello che ho visto, ogni aggiornamento è sempre andato a cambiare i proprietari e lo script di avvio, vanificando le modifiche fatte manualmente. Se vi va bene che il demone venga eseguito con l’utente “nobody”, riportate il proprietario del file di log a “nobody.nobody” e non dovrete più cambiare nulla altro, se invece preferite eseguirlo con un utente dedicato, c’è la possibilità che dovrete ripetere le modifiche ad ogni successivo aggiornamento.

Aggiornamento 27/6/2012: Ho aggiornato la guida.

Dossier Cyberpunk

Un testo ottimo e molto completo sulla cultura cyberpunk, è disponibile da parecchio tempo sul sito della storica rivista Decoder. Spazia dalla letteratura, alla politica, la controcultura hacker in ambito internazionale e nazionale con particolare riferimento all’Italian Crackdown, per finire con la psichedelia e le arti musicali e visive.

È molto interessante, sia come testimonianza del periodo nel quale è stato scritto, gli anni ’90, caratterizzati dalla rinascita di molte controculture e movimenti che promuovevano un’evoluzione della società ed una maggiore indipendenza mediante l’autogestione. Dopo il decennio precedente, caratterizzato dalla possibilità di accesso a tecnologie potenti ed economiche che davano ai singoli, capacità di elaborazione e comunicazione altrimenti disponibili solo alle grosse aziende ed ai governi, vi era un grande entusiasmo per le molteplici possibilità date dall’informatica. Tutto questo entusiasmo, è percepibile in questo dossier.

È interessante anche l’attualità di moltissime situazioni descritte. Le critiche alle leggi restrittive in campo informatico e di comunicazione, sono analoghe a quelle che ancora oggi sentiamo e leggiamo ovunque, con la differenza che, attualmente, la consapevolezza del potere che l’informatica e la rete può dare alle persone, è ben chiara a governi e multinazionali, i quali cercano di limitarlo in modo molto più efficace e scaltro. Se conoscete tutte le problematiche che nascono riguardo a Google, Facebook, Apple, il DRM, i brevetti software, sapete a cosa mi sto riferendo.

Riporto l’introduzione e vi invito a proseguire la lettura sul sito originario, anche per apprezzarne l’aspetto estetico. Continua a leggere→

Nell’acquario di Facebook. La resistibile ascesa dell’anarco-capitalismo – Ippolita

Oggi viene presentato il nuovo saggio del collettivo Ippolita: gli stessi autori degli ottimi Luci e ombre di Google e Open non è Free, già segnalati su questo blog.

La presentazione di oggi viene fatta a Milano. Il 31 verrà presentato a Torino. Il libro verrà pubblicato in cartaceo dopo l’estate, per la casa editrice francese Payot & Rivages, sempre con licenza copyleft.

Potete leggerlo online a quest’indirizzo: Nell’acquario di Facebook | ippolita.net

Nell’acquario di Facebook

La resistibile ascesa dell’anarco-capitalismo

J’aime pas Facebook – (Payot & Rivages)

FaceBook si avvia ad avere un miliardo di utenti. La sua collocazione in borsa si annuncia come una delle più gigantesche operazioni finanziarie di tutti i tempi. FB è l’incarnazione dello Zeitgeist: il dispiegarsi dell’informatica del dominio applicata all’ingegneria sociale. FB ha operato in campo sociale ciò che Google aveva sperimentato nella gestione delle conoscenze umane in rete: l’illusione che l’informatica possa farci accedere in modo neutro e ordinato al complesso di relazioni e informazioni che compongono ciò che chiamiamo web. Se Google è un dispensatore di verità, FB è un impresario di relazioni. Tutto per il bene dell’umanità, della socialità e della condivisione. Nel nome della libera informazione. Libertà automatica garantita dalle macchine. La libertà di una socialità sempre più meccanizzata.

Ma quale ideologia si nasconde dietro questo vessillo di libertà? FB è uno straordinario dispositivo in grado di mettere a profitto ogni micro movimento compiuto sulla sua piattaforma. Nell’illusione di intrattenerci stiamo invece lavorando per l’espansione di un nuovo tipo di mercato, il commercio relazionale. FB, come ogni altro strumento privato di social networking, non è affatto gratuito, la moneta di scambio siamo noi: l’unicità che fa di ciascuno un essere singolare e irripetibile.

Attraverso la dottrina della Trasparenza Radicale siamo condotti a velocità vertiginosa verso una distopia che è al contempo huxleyana e orwelliana. Siate trasparenti alle macchine, dite tutto di voi, e sarete liberi persino dal desiderio: gli algoritmi si occuperanno per voi di selezionare e scegliere i prodotti di consumo su misura per voi. Una porzione di umanità è stata raccolta, come una coltura in vitro, sotto la lente di FB per essere segmentata e trasformata in merce preziosa. Ci siamo sottoposti volontariamente ad un grande esperimento sociale, culturale e tecnico.

Con questo testo il gruppo di ricerca Ippolita fa un giro dietro le quinte di FB interrogandosi, attraverso un metodo interdisciplinare, sulle origini, gli obiettivi e la visione del mondo di questo giovane astro del turbo-capitalismo. L’anarcocapitalismo dei right libertarians californiani più oltranzisti, fanatici del capitalismo senza regole, è il filo conduttore che ci permette di collegare FaceBook ai Partiti Pirata in Europa e a Wikileaks. E di evidenziare che gli algoritmi usati per la pubblicità personalizzata dai giganti della profilazione online, i nuovi padroni digitali (FaceBook, Apple, Google, Amazon) sono gli stessi utilizzati dai governi dispotici per la repressione personalizzata. La fede cieca in una tecnologia salvifica ammanta l’opaco progetto di dominio della trasparenza radicale. Siamo di fronte a una distopia tecnologica davvero in grado di coniugare la lobotomia emotiva del consumismo sfrenato di Huxley con la paranoia repressiva del controllo orwelliano. Nel nome della libertà del capitale. Continua a leggere→