Quelle API e quei cookie troppo libertini di Facebook
Facebook: la privacy è sempre un problema
(-)
Loading ...
Le nuove API di Facebook a quanto sembra lasciano alle applicazioni un po’ troppa libertà: in certe condizioni potrebbe comparire nella propria bacheca qualcosa di troppo. Facebook nega
Articoli correlati:
Roma – Come noto, Facebook ha introdotto un nuovo sistema di API, in concomitanza con tutte le innovazioni preannunciate già da qualche giorno. Tra queste innovazioni ce ne è una che sembra stia sollevando molte perplessità sotto il profilo della privacy: è il c.d. frictionless sharing. Questa funzione permette, di fatto, l’invio di aggiornamenti di stato su Facebook senza alcun intervento dell’utente.
L’allarme è partito dallo sviluppatore Dave Winer, che ne ha descritto uno scenario alquanto inquietante. Esso deriva da quanto aveva spiegato pochi giorni prima ReadWriteWeb, a proposito dell’uscita del Washington Post Social Reader, un’applicazione molto accattivante ma, di sicuro, poco “riservata”.
In diversi, infatti – inclusi alcuni lettori di questo sito – hanno rilevato una certa invadenza di quell’applicazione: in pratica, sfruttando le nuove API, essa informa i propri amici pressoché di tutto. E impara, con il tempo, a farlo sempre meglio, lo ha dichiarato il quotidiano stesso.
In pratica, spiegava Winer, potrebbero presentarsi con frequenza scenari di questo tipo sulla propria bacheca: “Bull Mancuso ha appena letto un tutorial che spiega come uccidere un membro della propria famiglia criminale”. Bull – continua Winer con il personaggio d’esempio – non ha commentato, ha solo cliccato su mi piace e ha visitato una pagina Web. Ciò è bastato perché fosse pubblicato un annuncio a suo nome a chiunque lo segua su Facebook. Non necessariamente solo i suoi amici, perché ora che esistono le sottoscrizioni agli aggiornamenti anche se non si è amici (devono essere abilitate, ndB), virtualmente chiunque può leggere quell’aggiornamento.
La cosa ha insospettito Nik Cubrilovic, imprenditore, blogger e hacker per passione, che ha voluto capirci qualcosa e soprattutto comprendere se questo rischio potesse tracimare, andando oltre lo scenario di impiego prospettato da Winer.
Cubrilovic ha così esaminato qualità, quantità, contenuti e scadenze di tutti i cookie che Facebook imposta sul proprio browser all’atto del collegamento. Ne è emerso, per farla breve, che Facebook altera soltanto lo stato dei cookie memorizzati, ma non li rimuove, neppure dopo aver cliccato su Logout (o Esci).
Il determinato Cubrilovic ha così stabilito che se tali cookie sono presenti, qualunque pagina si visiti dove è presente un qualsiasi accessorio di Facebook (pulsanti, box commenti, ecc.), il social network rileva comunque chi è la persona e, di conseguenza, cosa sta leggendo, quanto tempo trascorre sulla pagina e via discorrendo.
Se in determinate circostanze (e senza secondi fini) questo può non essere un problema, qualora si desideri evitarlo non basta eseguire il logout: occorre cancellare tutti i cookie di Facebook.
Cubrilovic si preoccupa anche di citare alcuni esperimenti che ha fatto in passato, a riprova di quanto constatato. Spiega di aver contattato Facebook per queste ragioni sin dal primo momento, a novembre dello scorso anno, poi a gennaio di quest’anno, senza ottenere alcuna risposta.
Nel frattempo, è possibile aggirare l’ostacolo senza rinunciare alla comodità del logon automatico – funzionalità per la quale occorre accettare e conservare i cookie - servendosi di browser diversi: per esempio, RockMelt per Facebook e Twitter, Firefox per navigare normalmente e Chrome per utilizzare i servizi di Google.
Molti browser permettono impostazioni personalizzate per la gestione dei cookie in ogni sito: qualora si disponga di un browser dotato di tale caratteristica, può tornare utile anche per questo, impostandolo in modo da rimuovere i cookie di quel dominio a ogni sessione. Resta però il fatto che, se nello stesso browser si visitano anche altri siti dotati di accessori Facebook, se oltre a eseguire il logout non si rilancia il browser, il rischio permane.
La circostanza, dopo cotanti post, un bel po’ di rumore sui media e un autentico fragore in blogosfera, è giunta a Palo Alto e qualche cenno di risposta è arrivato. Al di là del sottolineare le (ovvie) dichiarazioni già pubblicate nelle pagine di aiuto del social network, che di certo non “confesserebbero” mai, in sostanza Facebook ha prima riluttato a fornire spiegazioni, rimandando a un commento dell’Ing. Arturo Bejar lasciato sul blog di Emil Protalinski, che ne ha parlato su ZDNet.
Tale commento, in breve, sottolinea che l’approfondimento di Cubrilovic è certamente interessante ma arriverebbe – secondo Bejar – a conclusioni sbagliate. La pietanza è sempre la medesima: Facebook non traccia, i cookie servono “per proteggere”, per impedire login fraudolenti da altri computer, per verificare se chi entra è o meno maggiorenne e – ecco una microconfessione - “to personalize (show you what your friends liked), to help maintain and improve what we do”, che in soldoni significa per personalizzare (mostrarvi cosa è piaciuto ai vostri amici) e aiutarci a gestire e migliorare ciò che facciamo. Il che vuol dire che uno scambio c’è, eccome.
Grosso modo la medesima dichiarazione è poi giunta a ZDNet in “via ufficiale”, sotto forma di nota di risposta al quesito che, evidentemente, il celebre sito ha posto altrettanto ufficialmente al social network.
Come al solito, dunque, il lupo perde il pelo ma non il vizio. Conviene tenere gli occhi abbastanza aperti su questa vicenda, nella speranza che al più presto venga presa in maggior considerazione dal social network in chiave meno invasiva.
