Facebook ha modificato il funzionamento dei cookie per gli utenti non registrati, dopo che l’hacker Nick Cubrilovic ha svelato che il social network riusciva a monitorare i propri utenti anche se questi avevano fatto “logout”.

Cubrilovic spiega (copia cache) di essere rimasto in costante contatto con Facebook per due giorni, con l’obiettivo di risolvere il problema. Questo dopo aver atteso una risposta per quasi un anno, situazione che lo ha convinto a rendere pubblica la faccenda – ed ecco che per magia i tecnici di Facebook hanno “scoperto” il problema, e la gran voglia di risolverlo.

Stan non ama gli aggiornamenti di Cartman

“In sostanza, Facebook ha fatto dei cambiamenti alla procedura di logout e ne hanno spiegato nel dettaglio ogni parte e i cookie usati”, scrive Cubrilovic.

Cubrilovic ha creato una comoda tabella (vedi immagine sotto) per capire che cosa fa ognuno dei cookie, e quanto dura. In un’altra pagina invece potete esaminare una sessione che ha estratto da Firefox.

Per Cubrilovic la variazione più importante è che il cookie a_user, che identifica l’utente, ora si cancella all’uscita da Facebook. In questo modo un sito che integra Facebook – come Tom’s Hardware – non può far sapere a Facebook quali utenti lo visitano, se non hanno eseguito l’accesso al social network.

“Quello che vedi nel tuo browser è tipico, eccetto per a_user che è meno comune è dovrebbe essere cancellato all’uscita. C’è un bug che lo impedisce, e lo sistemeremo oggi”, hanno spiegato a Cubrilovic i tecnici di Facebook. Detto fatto.

I cambiamenti dei cookie, clicca per ingrandire

Ci sono comunque altri cookie attivi, e Cubrilovic riporta le relative spiegazioni date da Facebook: “datr” è creato quando un browser visita facebook.com per la prima volta, e il suo scopo è identificare attività di accesso sospette (accessi falsi o multipli, spam); “lu” ha lo scopo di proteggere chi usa un computer pubblico, e agisce sulla compilazione automatica dei dati di accesso e sull’opzione “resta collegato”, se rileva che da uno stesso PC si collegano più utenti.

Resta ancora quindi l’identificazione univoca del browser, e Cubrilovic spiega che non c’è che fidarsi di Facebook e delle spiegazioni che ha dato. La cancellazione del cookie “a_user” è il cambiamento fondamentale, perché ora non è più possibile identificare l’utente.

L’altro cookie interessante (o preoccupante) è “act”. Anche questo secondo il ricercatore serve a fornire un’identificazione univoca, ma attraverso la registrazione delle attività . Facebook ha confermato: “è un contatore incrementale delle azioni. Come abbiamo detto, serve solo a raccogliere dati sulle prestazioni, nient’altro”.

“Capisco le ragioni tecniche. […] Credo a Facebook quando dicono che anche se questo è un identificativo univoco non è usato per risalire all’identità dell’utente, ma è senz’altro possibile”, scrive l’hacker.

Marck Zuckerberg improvvisa un classico dei Police – The Joy of Tech

Insomma, ora Facebook ci pedina un po’ più da lontano, e non può avere tante informazioni come prima. Ma qualche traccia resta. “Consiglio ancora che gli utenti cancellino i cookie manualmente, oppure usino un altro browser (per le attività più riservate, NdR). Credo alle spiegazioni di Facebook, ma non sono una ragione per essere compiacenti in tema di privacy, e per non prendere iniziative con l’obiettivo di restare sicuri”.

Cubrilovic termina il proprio testo con affermazioni sibilline, infine. “Ho scoperto un sacco di altre questioni e temi interessanti che meritano approfondimenti mentre investigavo sul tema dei cookie in logout, e me ne occuperò in futuro, qui sul blog”, scrive.

Insomma, Facebook ha fatto un piccolo passo nella direzione giusta, ma la strada è ancora lunga e c’è chi fa la guardia. Peccato che non basti un ricercatore che avvisa Facebook (o chiunque altro), e che si renda necessario il rumore mediatico per ottenere i cambiamenti. Se Cubrilovic per qualsiasi ragione non avesse reso pubblico il proprio lavoro, probabilmente non sarebbe cambiato nulla.