Firefox condivide i feed che visiti con Google

Firefox Logo LegRoom ha pubblicato qualche giorno fa un interessantissimo post con alcuni dettagli tecnici che dimostrano come Firefox 2.0 condivida con Google le informazioni sui feed aperti nel browser e, in automatico, accetti un cookie da Google con scadenza 2038.

Andiamo per ordine. A partire dalla nuova versione, ogni qual volta che si accede ad un feed Firefox mostra un'anteprima del contenuto, formattata con un'interfaccia grafica ed user friendly.
In aggiunta al contenuto del feed ed alcune informazioni di contorno, Firefox mostra un pannello con opzioni per sottoscrivere il feed con i principali aggregatori online come Bloglines, Google Reader e My Yahoo, oltre ovviamente ai Live Bookmarks.

Il problema, in base a quanto segnalato da LegRoom, è che in realtà le piccole icone visibili a lato di ogni aggregatore, chiamate in gergo favicon, non sono caricate né dal sito originale né da una copia interna di Firefox, bensì sono salvate su un server di Google e richieste in tempo reale da Firefox.
Ogni qual volta che voi visualizzate un feed, immediatamente dopo il caricamento della pagina, Firefox invia a Google attraverso un header HTTP la richiesta dell'icona passando, in aggiunta agli header necessari, anche alcune prezione informazioni come l'esatta versione del browser che state utilizzando, la pagina di provenienza, il vostro IP, data ed ora della richiesta ed il feed visualizzato.
Al termine, Google imposta un cookie valido a livello di root per l'intero dominio *.google.com con scadenza anno 2038.

Assumendo che quanto riportato da LegRoom corrisponde al vero, Google disporrebbe così di ulteriori informazioni aggiuntive sulle abitudini dell'utente e, grazie al cookie, non avrebbe alcun problema ad associarle con il profilo utente presente ad esempio su Google Account.

La scoperta di questo comportamento, spiega LegRoom, è assolutamente casuale. Le sue abitudini di navigazione nonché l'utilizzo di una versione personalizzata di Firefox portano il browser a confermare manualmente la richiesta di ogni cookie, senza alcuna eccezione.
Solo in questo modo, continua l'autore, è stato possibile analizzare il traffico di rete con un programma apposito ed individuare la sorgente di quel cookie misterioso.

In coda all'articolo LegRoom pubblica almeno 3 riflessioni importanti su questo tipo di (in)volontario comportamento.

Innanzi tutto una domanda potrebbe sorgere spontanea: considerando che Firefox è perfettamente in grado di caricare in modo autonomo le favicon — altre funzioni come i Live Bookmarks già lo prevedono come opzione — perché mai per i feed Firefox dovrebbe appoggiarsi a Google? Dal punto di vista tecnico potrebbe non rappresentare la soluzione più efficiente, inoltre l'uso di una cache interna senz'altro è più performante.

Assumendo poi che il primo punto abbia qualche risvolto tecnico non considerato, perché mai Firefox dovrebbe comunicare a Google IP dell'utente, browser, referer, URL del feed e quant'altro e non limitarsi esclusivamente al nome del servizio o della favicon?

Infine, dando per assunto che Google già conosca la versione del browser e le altre informazioni, restano misteriosi altri dettagli relativi al cookie. Per esempio, il cookie non è impostato per il dominio fusion.google.com, indirizzo dal quale le favicon vengono caricate, bensì come root, ovvero è valido per l'intero dominio *.google.com.
Questo significa che qualsiasi servizio di Google è perfettamente in grado di leggere e gestire le informazioni contenute in quel cookie... almeno fino al 2038, data di scadenza del delizioso biscottino.

In aggiunta alle considerazioni di LegRoom, concludo con alcune righe relative alla visualizzazione browser friendly da parte di Firefox.
Ad aprile provai in anteprima la nuova funzionalità su Firefox mentre ad Ottobre scrissi un articolo comparando IE 7 con Firefox 2.
La conclusione, valida per entrambi i browser, riportava come nessuno dei due software desse in qualche modo valore ad un eventuale template già associato al feed sovrascrivendo qualsiasi personalizzazione dell'utente, inesorabilmente e, a mio parere, senza una motivazione reale.
Sempre a proposito di motivazioni, il discorso si è poi sviluppanto anche su pseudotecnico:blog dove mi è stato fatto notare che Ben Goodger ha definito questa richiesta come NON bug ed etichettato l'argomento WONTFIX, con significato "questo comportamento è così e non verrà modificato".
Alla luce di quanto esposto da LegRoom, qualcuno già pensa a correlazioni tra questa scelta e quanto prima esposto.

Lo stretto legame tra Google e Firefox è pubblico e noto alla comunità. Si pensi ad esempio alla nuova funzionalità anti-phishing sviluppata da Mozilla e Google oppure alle assunzioni di sviluppatori di Firefox da parte del noto motore di ricerca.
A parte questo, LegRoom conclude il suo articolo con una serie di interrogativi che riporto in conclusione di questa notizia.

My biggest question at this point is simply, "Why?". Does anyone know why Firefox does this? Has anyone seen any other reference to this, or acknowledgment of this behavior? I find it very odd that Firefox 2.0 loads the Google favicon, and only the Google favicon, remotely for the Feed Preview page, when the favicons for three other services displayed in the same page are loaded locally. I can think of no technical reason for this, and the only non-technical reason that comes to mind is that Google wants to track your newsfeed habits, and the Firefox made it happen.

What do you think? Am I being overly paranoid here (it's certainly been known to happen)? Feel free to leave your comments below, or just send me an e-mail.

Semplicemente... perché? Gli utenti sono a conoscenza di questo funzionamento di Firefox? Qualcuno per caso ha individuato riferimenti a licenze o condizioni d'uso che riportino questa clausula?