Con la versione stabile di Chrome 140, Google ha introdotto due nuove funzionalità pensate per rafforzare la privacy degli utenti durante la navigazione in incognito: IP Hiding e Script Blocking.
IP Hiding e Script Blocking: cosa sono e come funzionano
Queste tecnologie mirano a contrastare il tracciamento online, in particolare quello basato su tecniche avanzate come il fingerprinting, senza richiedere configurazioni manuali da parte dell’utente.
La funzione IP Hiding consente di mascherare l’indirizzo IP reale dell’utente quando interagisce con contenuti di terze parti, come iframe o script incorporati nelle pagine web. Il sistema si basa su un doppio proxy:
- Il primo proxy, gestito da Google, riceve l’indirizzo IP dell’utente ma non conosce il dominio di destinazione.
- Il secondo proxy, ospitato su una CDN esterna, conosce il dominio ma non l’IP dell’utente.
Tutte le comunicazioni tra browser e proxy sono crittografate tramite HTTPS, garantendo un buon livello di sicurezza. Tuttavia, questa protezione si applica esclusivamente ai contenuti provenienti da domini inclusi nella Masked Domain List (MDL), un elenco gestito da Google in collaborazione con Disconnect.me. Inoltre, per attivare IP Hiding è necessario essere autenticati con un account Google durante la sessione in incognito.
Parallelamente, Chrome 140 introduce Script Blocking, una funzione che impedisce il caricamento di script provenienti da domini esterni alla pagina visitata. Questo meccanismo è pensato per ridurre il fingerprinting, una tecnica che raccoglie informazioni sul dispositivo e sul browser per creare un’identità digitale unica. Il blocco si attiva solo in incognito e si basa sull’analisi delle API JavaScript più frequentemente usate per il fingerprinting, come canvas, WebGL, performance timing e enumerazione di font e hardware.
Chrome 140: Masked Domain List e criticità del sistema
La Masked Domain List (MDL) è un elenco pubblico di domini soggetti a restrizioni durante la navigazione in incognito. Gestita da Google e Disconnect.me, la lista è consultabile su GitHub ma non è accessibile direttamente dal browser. Gli utenti non possono visualizzare in tempo reale quali domini sono mascherati, né modificarne il contenuto. L’inclusione nella lista dipende da criteri tecnici e analisi automatizzate, senza possibilità di intervento da parte degli utenti o dei webmaster.
Disconnect.me, partner tecnico di Google in questo progetto, è una società specializzata nella protezione della privacy online. Fondata nel 2011 da un ex ingegnere Google e da un attivista per i diritti dei consumatori, offre strumenti per bloccare oltre 2000 tracker online. La collaborazione con Google mira a identificare i domini che utilizzano tecniche invasive di tracciamento, ma il sistema resta centralizzato e poco trasparente.
Le funzionalità IP Hiding e Script Blocking presentano diverse limitazioni:
- Funzionano esclusivamente in modalità incognito, lasciando scoperta la navigazione normale.
- Richiedono l’autenticazione con account Google, introducendo una dipendenza dal sistema centrale di gestione dei dati.
- Non permettono agli utenti di personalizzare la lista dei domini mascherati.
- Possono bloccare erroneamente script legittimi, se questi utilizzano API simili a quelle impiegate per il fingerprinting.
- Non garantiscono protezione contro nuove tecniche di tracciamento non ancora rilevate dal sistema.
Queste criticità sollevano dubbi sull’efficacia reale delle nuove funzionalità. Sebbene Chrome 140 assuma un ruolo più attivo nella protezione della privacy, il concetto originario di navigazione in incognito — evitare il salvataggio di dati locali — viene esteso in modo che può generare confusione. Molti utenti potrebbero credere di essere completamente anonimi, quando in realtà la protezione è parziale e condizionata da vari fattori.
