Ci risiamo. Un'altra falla nel software Microsoft. Di per sè la cosa non farebbe notizia (capita spessissimo), ma è il tipo della falla che mi fa venire i brividi e mi spinge a scriverne.

La cosa funziona così. Quando installate Windows Media Player, al programma viene assegnato automaticamente e silenziosamente un numero identificativo. Il numero identificativo assegnato alla vostra copia è unico e irripetibile: non ce l'ha nessun altro su Internet. In altre parole, quel numero vi identifica inequivocabilmente. E' il vostro numero di matricola, la vostra impronta digitale, il vostro DNA in Rete. In pratica, a vostra insaputa Windows vi assegna un codice di identificazione individuale. E poi lo sbandiera in Rete.

Eh già. Il problema è che questo numero identificativo segreto è interrogabile dall'esterno, per cui può essere usato per riconoscervi. Come descritto da Richard M. Smith, bastano poche righe di Javascript per consentire a un sito ostile di evocare il Windows Media Player e fargli rivelare il vostro identificativo. Questo avviene anche se disattivate tutti i cookie e li cancellate ogni volta, come si fa di solito per proteggere la propria privacy. Per questa sua caratteristica di comportarsi come un cookie anche quando i cookie sono disattivati, Richard usa il termine supercookie per definire questa falla di Windows Media Player.

Tutto questo apre possibilità di tracciamento inquietanti. Ad esempio, un sito può sapere quando e quante volte lo visitate. Una serie di siti legati da un accordo commerciale può condividere i dati di tracciamento cortesemente offerti da Windows Media Player e farsi un'idea molto precisa delle vostre abitudini, dei vostri gusti e delle vostre disponibilità economiche. Voi siete convinti di navigare anonimamente, ma in realtà Windows Media Player vi sta tradendo alle spalle, lasciando dietro di voi una scia di numeri identificativi in ogni sito che decide di approfittare di questa falla.

Se per caso non siete convinti che possa esistere un simile abominio, provate voi stessi. Visitate questo indirizzo: dopo qualche secondo comparirà il vostro numero identificativo univoco. Il mio è questo:

{16A8EDA0-AAE5-11D5-BECF-0020E00EB7DD}

La pagina dimostrativa funziona con qualsiasi browser (compreso il nuovissimo Internet Explorer 6 e anche Opera) e qualsiasi versione di Windows, XP compreso, con o senza rifiuto dei cookie, a patto che abbiate attivato Javascript (cosa che fanno quasi tutti).

Contenti? Visto con che amorevole cura Microsoft si occupa della vostra privacy?

Rimedi

Il numero identificativo di Windows Media Player è per fortuna modificabile. Però richiede che modifichiate il Registro, operazione delicata e di certo non alla portata dell'utente medio. Se ve la sentite, la chiave del Registro da modificare, stando a Richard Smith, è questa

HKEY_CURRENT_USER\Software\Microsoft\Windows Media\WMSDK\General

oppure

HKEY_USERS\\Software\Microsoft\Windows Media\WMSDK\General

Il valore da modificare è la stringa UniqueID. Tuttavia la modifica potrebbe impedire il funzionamento dei sistemi di gestione dei diritti digitali del Media Player (quelli che vi permettono di suonare la musica protetta con sistemi anticopia).

Un altro metodo per evitare di seminare queste impronte digitali è disattivare Javascript, ma questo comporta che moltissimi siti diventeranno inutilizzabili perché usano appunto Javascript.

A seguito delle segnalazioni di Richard Smith, Microsoft ha aggiunto alle versioni recenti del Media Player un'opzione nel menu Strumenti > Opzioni. Nella versione inglese è etichettata 'Allow Internet sites to uniquely identify your player': disattivandola, il numero di identificazione verrà cambiato ad ogni sessione di Internet Explorer, per cui la vostra privacy sarà di nuovo salva (almeno fino alla scoperta della prossima falla). Microsoft ha documentato il problema presso questa pagina, dove trovate anche una patch apposita.

Nella peggiore delle ipotesi, se siete sufficientemente disgustati da questo pasticcio, potete naturalmente disinstallare Windows Media Player e cercarvi un programma sostitutivo nelle biblioteche di software di Internet.

La domanda fondamentale

Trovata e risolta la falla, resta la domanda iniziale. Perché Microsoft ha introdotto questa funzione? A che cosa può mai servire un numero identificativo univoco così ben nascosto in un programma che apparentemente non c'entra proprio niente con l'identificazione dell'utente? Non certo per la gestione dei diritti digitali, dato che ora Microsoft ne consente la disabilitazione.

E allora quale altra spiegazione rimane? Lascio la risposta alla vostra immaginazione. Nel frattempo, felice navigazione con i prodotti Microsoft.

Hai a disposizione ancora caratteri. Per inserire commenti più lunghi (e senza CAPTCHA), iscriviti.
Il tuo nome:		La tua email: