Chrome, ecco come cambia il sistema di cache. Obiettivo: migliorare la privacy

Con la versione 86 di Chrome rilasciata di recente nel canale stabile Google ha cambiato il modo in cui funziona uno dei suoi componenti di base con l'obiettivo di proteggere ulteriormente la privacy degli utenti. Si tratta nello specifico della "cache condivisa", o "cache HTTP", sistema che serve a salvare in locale una copia delle risorse presenti in una pagina web, come immagini, file CSS e file JavaScript. Come facilmente intuibile, lo scopo della cache condivisa è velocizzare il caricamento della pagina quando si ritorna sulla stessa più volte in un breve periodo di tempo.

Quando questo avviene Chrome recupera i file dalla memoria locale del sistema operativo, un comportamento simile a quanto avviene con la stragrande maggioranza dei browser ormai da tempo immemore. Il sistema della cache condivisa consente non solo di ridurre drasticamente i tempi di caricamento delle pagine (soprattutto su connessioni non velosissime), ma anche di risparmiare sui consumi di banda. Il funzionamento è simile su tutti i browser: ogni file salvato in locale viene abbinato ad una chiave di storage che generalmente è l'URL della risorsa.

Quando il browser scarica una nuova pagina cercherà la chiave all'interno della propria cache interna, scoprendo subito se è necessario effettuare il download online o se è possibile recuperarla in maniera più veloce dall'unità di archiviazione locale. Un metodo, però, che può essere preso di mira da società di analisi e inserzionisti pubblicitari per portare a compimento veri e propri attacchi alla sicurezza e alla privacy dell'utente. Ne ha parlato Iggy Kitamura, Developer Advocate di Google, con ZDNet, che ha approfondito l'arrivo di un nuovo sistema di cache su Chrome 86.

"Questo meccanismo ha funzionato bene dal punto di vista delle prestazioni per molti anni, ma il tempo che impiega un sito web per rispondere a tutte le richieste HTTP può rivelare che il browser ha avuto accesso alla stessa risorsa in passato, fattore che può rendere vulnerabile il browser ad attacchi di sicurezza e privacy", sono state le parole dell'esperto di Google. Con il vecchio metodo di "caching" di Chrome era possibile capire se l'utente aveva già visitato un sito specifico, ed era possibile eseguire attacchi di ricerca cross-site o effettuare tracciamenti cross-site.

Chrome 86 e il nuovo sistema di gestione delle risorse della cache

La situazione è cambiata con il rilascio di Chrome 86 grazie all'introduzione del "partizionamento della cache", funzione che modifica la modalità di salvataggio delle risorse nella cache HTTP in base a due fattori aggiuntivi. La chiave di archiviazione delle risorse contiene, a partire da Chrome 86, tre elementi anziché uno: il dominio di primo livello del sito, il frame attuale della risorsa e l'URL completo della risorsa. Aggiungendo ulteriori chiavi al processo di verifica della cache iniziale, Chrome può efficacemente bloccare tutti gli attacchi precedenti eseguiti cercando di sfruttare il meccanismo di cache impiegato, visto che la maggior parte dei componenti del sito web sarà in grado di accedere solo alle proprie risorse e non sarà in grado di verificarne altre.

Il partizionamento della cache è in fase di testing dal settembre del 2019, a partire da Chrome 77. Per gli utenti non ci saranno differenze nelle modalità d'uso con il browser, mentre la fonte sostiene che gli admin IT potranno verificare un aumento nel traffico nell'ordine di pochi punti percentuali. La funzione è disponibile anche per i browser che fanno uso del codice open-source di Chromium, quindi potremmo vederla integrata sulle prossime versione nel giro di pochi mesi. Anche Mozilla ha pianificato l'introduzione su Firefox del nuovo sistema di caching di Chrome, mentre Safari ne implementa già uno simile, ma a due fattori e non tre come quello introdotto con Chrome 86.