Da sempre uso un firewall per monitorare le connessioni in entrata e in uscita. Sul Mac da qualche tempo adopero Little Snitch, molto efficace nel mostrarmi, anche quando minimizzato, connessioni non giustificate da una funzione conosiuta.
Nela mia ricerca del browser perfetto, mi sono trovato a valutare Chrome, Opera, SRWare Iron. Tre browser accomunati dal motore di rendering, Blink, il fork di Google del progetto Webkit. Osservando le attività di rete durante la fruizione di tutti questi browser, ho notato continue connessioni alcuni indirizzi “strani”: 8.8.8.8 o 8.8.4.4 e due indirizzi IPV6. Ho quindi creato una regola per bloccarli, scoprendo solo dopo che corrispondevano ai DNS pubblici di Google.
Tutti e tre i browser “chiamano” dunque i DNS di Google ad ogni click su un collegamento ipertestuale. Essendo gli indirizzi bloccati, lampeggia ripetutamente l’icona del firewall. Dopo un breve lag (che però si ripete per le varie connessioni che ogni pagina richiede), la pagina si apre. Inutile dire che questo vanifica ogni possibile vantaggio in velocità dei browser basati su Blink.
Ho verificato quest’affermazione provando con altri browser non basati su Blink (Safari e Firefox) e provando a disabilitare la regola di blocco degli indirizzi IPV4 e IPV6 del DNS di Google. In entrambi i casi il firewall non rileva anomalie.
Come immagino alcuni di voi, dopo le rivelazioni di Snowden sul sistematico spionaggio operato dalla NSA ai danni degli utenti internet di tutto il mondo, ho iniziato ad adottare alcune contromisure sostanziali, compresa la crittografia delle richieste DNS. A fronte di queste misure mi dà molto noia il sospetto che Google forzi questa mia scelta per indurmi ad utilizzare il proprio DNS pubblico.
Mi direte: tanto tutti i DNS hanno un log dei siti visitati recentemente. Il problema è che non tutti i DNS appartengono al leader indiscusso della pubblicità internet e non tutti loggano permanentemente i nomi a dominio visitati. Certo, promettono di non associare i dati loggati a IP o altre informazioni che possano identificare univocamente l’utente. Ma di questi tempi tendo a diffidare, specialmente vista la natura adv-centrica di Google e ai rapidi cambi dei TOS, spesso scritti in legalese indecifrabile. E poi il logging permanente dei siti visitati è funzionale all’erogazione di un servizio DNS pubblico? Quali vantaggi porta a fronte della collezione, seppur anonima, dei siti visitati?
In un articolo di Forbes del 2012,che non brilla certo per accuratezza tecnica, troviamo l’affermazione di una portavoce di Google secondo cui lo “stub resolver” studiato da Google per Chrome (descritto qui nei particolari), poggia sui DNS impostati dal sistema e non su quelli di Google. Qualcosa è cambiato da allora? E perché?
PS Ribadisco, le prove tecniche da me svolte si limitano a quelle descritte, solo su Mac OS. Ho scavato anche nei settaggi di Chrome per cercare impostazioni DNS ma nulla di quanto ho fatto ha influito sul problema descritto. Lo stesso vale per Opera ed SRWare Iron. Non sono certo andato a spulciare nel codice sorgente di Chromium per trovare riferimenti ai DNS di Google. Se qualcuno di voi ha modo di replicare i miei test o di farne altri, magari su Windows, sarò ben lieto di ospitare nuove conclusioni.