Pensate che navigare su Tor sia come indossare una maschera di Guy Fawkes in mezzo a una folla di zombie? Beh, sembra che qualcuno abbia appena trovato un modo per leggere il vostro nome scritto sotto la maschera usando solo un database interno di Firefox.
Sia chiaro, non è il classico attacco da film di Hollywood con schermi verdi e terminali che scorrono a velocità folle. È molto più subdolo e, onestamente, anche più irritante. Il team di Fingerprint ha scoperto una vulnerabilità legata all’IndexedDB, un meccanismo che il browser usa per memorizzare dati localmente. In pratica, nonostante Tor faccia di tutto per farvi sembrare tutti uguali (l’eterna lotta contro il browser fingerprinting), questo specifico identificatore rimane stabile tra diverse sessioni e identità.
In parole povere: se pensavi di poter saltare da un nodo all’altro e cambiare ‘skin’ digitale per restare invisibile, hai sbagliato tutto. Questo ‘leak’ permette di collegare le tue varie identità Tor a un unico profilo tracciabile. È come se cercassi di mimetizzarti in un raduno cosplay, ma avessi un tag con il tuo codice fiscale cucito dentro la tuta di Spiderman.
Da smanettone che mastica codice e ama la libertà digitale, trovo questa cosa profondamente frustrante. Il bello del mondo open source e degli strumenti di privacy è l’idea di poter costruire il proprio perimetro di sicurezza, pezzo dopo pezzo. Quando però un dettaglio tecnico così ‘invisibile’ — una gestione pigra o errata di un database locale — scavalca intere infrastrutture di anonimizzazione, la sensazione è quella di aver costruito un castello di sabbia mentre arriva la marea.
Cosa significa per noi che passiamo le notti a configurare server, script Python o macchine CNC? Che la fiducia cieca nelle ‘protezioni’ predefinite è un lusso che non possiamo permetterci. Se usate Tor per scopi critici, la lezione è chiara: la stratificazione è l’unica via. Non basta affidarsi al browser; bisogna capire cosa sta succedendo sotto il cofano, nelle API e nei database locali.
Non è la fine del mondo e non è colpa di un hacker geniale che ha bucato il protocollo, ma è un reminder brutale che la privacy non è uno stato che si raggiunge e si dimentica, ma un processo continuo di hardening. Quindi, meno fiducia nel ‘già fatto’ e più controllo sui propri dati. E se Firefox non ha ancora patchato seriamente la questione, preparatevi a un po’ di debugging pesante.
Source: We found a stable Firefox identifier linking all your private Tor identities