Devo ammettere che negli ultimi tempi il team di sviluppo di Firefox sta davvero correndo come non mai, cercando costantemente di introdurre delle (a mio parere ottime) novità pur mantenendo un alto livello di attenzione ai buchi di sicurezza corretti dalle numerose patch riportate nel codice sorgente. In arrivo ci sono quindi due ulteriori integrazioni che promettono di tenere lontani gli utenti dalle numerose insicurezze nascoste dietro alcuni siti web: una maggiore integrazione con Firefox Monitor e un blocco per tutto ciò che tenta di utilizzare il browser per minare valute elettroniche o tracciare con precisione la tua impronta su Internet (fingerprint).

Due aggiornamenti secondo me importanti, che mirano a migliorare la consapevolezza dell’utilizzatore di Firefox nei confronti della sicurezza dei suoi dati (accessi ai servizi online in primis) e all’importanza del limitare la voracità di quei siti web che tentano di collezionarne il più possibile, per un proprio tornaconto evidentemente non sempre chiaro ai nostri occhi. Lascia che ti dia una panoramica un pelo più completa su ambo gli aspetti in arrivo per tutti nel futuro prossimo del browser di casa Mozilla.

Integrazione con Firefox Monitor

Se questo è il primo articolo che leggi in merito a Firefox Monitor, permettimi di rimandarti a un precedente pubblicato qualche tempo fa, che ti spiega nel dettaglio di cosa si tratta e perché Firefox Monitor può tornare utile nell’utilizzo quotidiano di Internet e dei numerosi siti web e servizi che certamente in parte utilizzerai: Firefox Monitor ti avvisa in caso di furto credenziali. Ora, chiarito lo scopo e l’utilizzo dello strumento brandizzato Mozilla (pur non nascendo nella fucina degli sviluppatori sparsi su tutto il territorio internazionale), ti spiego come ha luogo l’integrazione promessa e che in questo momento (mentre sto scrivendo il mio articolo) è ancora sotto ai ferri per poter essere all’altezza delle aspettative e fondersi diventando tutt’uno con l’interfaccia del browser.

Dall’about:config cerca la chiave extensions.fxmonitor.enabled e attivala (è una variabile booleana, ti basterà portarla su True). Se questa non dovesse esistere tra le chiavi disponibili nella tua configurazione, creala in tutta tranquillità:

A questo punto la modifica è immediata. Visitando un sito web compromesso almeno una volta negli ultimi 12 mesi, ti verrà notificato direttamente da Firefox. Ti segnalo inoltre un paio di ulteriori note da tenere da conto:

• extensions.fxmonitor.firstAlertShown : questo parametro determina se la prima notifica di allerta ti è già stata mostrata. Puoi impostarlo su False per ripristinarlo e ricevere notifiche per i siti violati negli ultimi 12 mesi.
• extensions.fxmonitor.warnedHosts : il parametro tiene traccia dell’elenco di siti web per cui ti sono stati mostrati gli avvisi. Se intendi in qualche modo fare un reset, ti basta pulirlo (lasciare la stringa vuota) per riportarlo allo stadio iniziale.

Se non dovesse funzionare sulla tua installazione, è perché probabilmente c’è ancora qualcosa da mettere a posto, come segnalato da un ingegnere Mozilla in un thread su Reddit, ti basterà solo portare un attimo di pazienza, sono certo che nei fix che stanno uscendo in questi giorni ci sarà anche quello che colmerà l’attuale lacuna e permetterà all’integrazione con Firefox Monitor di funzionare correttamente.

Blocco CryptoMining e Fingerprint

Anche di CryptoMining te ne ho già parlato, e l’ho fatto in occasione della presentazione della lista NoCoin per Adblock Plus (ed estensioni compatibili), più precisamente in questo articolo: Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files, riprendendo poi l’argomento in NoCoin: il cryptojacking è ormai argomento comune. A quanto pare l’argomento è diventato fulcro di questa ulteriore novità al momento funzionante in Nightly, ma che presto raggiungerà con ogni probabilità tutti gli altri rami di rilascio di Mozilla Firefox.

A esso si associa l’ulteriore argomento riguardante il Fingerprint del browser, l’impronta digitale lasciata dal software che noi tutti utilizziamo per navigare su Internet, che permette spesso di lasciare al sito web anche altre informazioni, senza però aver mai chiesto il permesso in maniera esplicita all’utente finale. Descrive bene il tutto la Electronic Frontier Foundation (EFF):

“Browser fingerprinting” is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.

Browser fingerprinting is both difficult to detect and and extremely difficult to thwart.

When you load a web page, you will automatically broadcast certain information about your browser to the website you are visiting — as well as to any trackers embedded within the site (such as those that serve advertisements). The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language you’ve set, the add-ons you’ve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.

If your browser is unique, then it’s possible that an online tracker can identify you even without setting tracking cookies. While the tracker won’t know your name, they could collect a deeply personal dossier of websites you visit.

vedi: panopticlick.eff.org/about#browser-fingerprinting.

È qui che interviene Mozilla, proponendo due impostazioni appositamente dedicate al blocco del Cryptomining e all’evitare che chiunque possa tracciare un’impronta precisa del browser e delle diverse informazioni che tramite questo arrivano a chi sta dietro il sito web o servizio di turno, si va quindi ad aggiungere un nuovo strato di sicurezza al già in produzione blocco degli elementi traccianti.

Accedi a about:preferences#privacy, noterai tu stesso ciò di cui ti sto parlando. È qui che puoi intervenire mettendo in moto le due nuove configurazioni dall’about:config, rispettivamente privacy.trackingprotection.fingerprinting.enabled e privacy.trackingprotection.cryptomining.enabled, variabili booleane che tu potrai attivare in Nightly da subito, nel ramo stabile tra qualche tempo:

La modifica è immediata, è ancora in fase di miglioramento continuo e contribuirà così ad arricchire ancora più ciò che Mozilla mette a disposizione per proteggere quanto più possibile la propria identità digitale e i dati riservati che molti prendono senza il tuo permesso.

Questo significherà abbandonare NoCoin?

Non al momento, ma va da sé che se Mozilla deciderà di integrare la protezione contro il Cryptomining all’interno del browser, liste filtri come NoCoin (e vale anche per le estensioni nate ad-hoc) non avranno forse più senso di esistere, e non c’è migliore notizia per gli utilizzatori, perché si andranno a proteggere anche quelli che non conoscono ancora oggi le possibilità offerte da Adblock Plus (e “soci”), le liste, le configurazioni in grado di tenerli lontani dai pericoli del web.

NoCoin è nata per andarsi a integrare con liste che vengono costantemente aggiornate e tenute vive sul web ormai da molti anni (2007, ed è subito attacco di nostalgia per gli anni passati), ma non è necessario che questa resista se c’è chi può fare di meglio e più diffusamente, credo tu possa comprenderlo benissimo.

immagine di copertina: Tails by giantspeck

fonti:
bleepingcomputer.com/news/security/mozilla-adding-cryptomining-and-fingerprint-blocking-to-firefox
ghacks.net/2019/02/18/firefox-67-to-display-breach-alerts
reddit.com/r/firefox/comments/as4txo/firefox_67_to_display_breach_alerts_ghacks_tech
reddit.com/r/firefox/comments/ap3np6/mozilla_adding_cryptomining_and_fingerprint