Diego Bartoli Geijo, University of Trieste

1. Extended Summary of "Why We Still Can’t Browse in
Peace: On the Uniqueness and Reidentifiability of Web
Browsing Histories”.
Sarah Bird, Ilana Segall, and Martin Lopatka, Mozilla. USENIX, SOUPS 2020.
Tesi di Laurea Triennale
Laureando: Diego Bartoli Geijo
Relatore: prof. De Lorenzo
Università degli studi di Trieste
Dipartimento di Ingegneria e Architettura
Corso di Studi in Ingegneria Elettronica e Informatica

2. Introduzione
Le tracking organization hanno interesse a costruire dei profili dei browser
sempre più accurati.
La profilazione dei browser avviene soprattutto tramite i cookie (sessioni).
I cookie hanno durata limitata e possono essere cancellati dall’utente.
Se fosse possibile associare cookie diversi riferiti ad uno stesso browser
allora il profilo del browser sarebbe molto più accurato.
Questa è un’importante minaccia per la privacy degli utenti del web.

3. Problema
È possibile riconoscere un browser in sessioni diverse?
È possibile farlo usando le browsing history?
1. Scenario ideale: browsing history completa.
2. Scenario reale: browsing history parziale.
○ Tracking organizations.

4. Metodo
52’000 utenti Firefox.
2 periodi diversi di raccolta delle browsing history.
3 rappresentazioni per ogni browsing history (vettori booleani):
A. Un elemento per ogni dominio osservato.
Ordinamento frequenza osservata.
B. Un elemento per ogni dominio in lista Trexa.
Ordinamento predefinito (frequenza Trexa).
C. Un elemento per ogni categoria osservata.

5. Terminologia
Utente: sinonimo di browser.
Profilo: insieme non ordinato di domini diversi visitati da un utente.
Dimensione di un profilo: numero di domini del profilo.
Vettore profilo: rappresentazione vettoriale di un profilo.
Sottovettore di dimensione k: costituito dai primi k elementi.
Reidentificare un browser: riconoscere un browser in periodi di
osservazione del traffico diversi.

6. Reidentificabilità: Calcolo
Vengono separati i dati della settimana 1 da quelli della settimana 2.
Per ogni vettore profilo della settimana 1:
1. Viene calcolata la distanza di Jaccard da ogni vettore profilo della
settimana 2.
2. Viene associato il vettore profilo della settimana 2 con cui ha
distanza di Jaccard minore.
3. Se l’associazione è corretta è considerato reidentificato.
Calcolo effettuato con:
● Sottovettori di dimensione k dei vettori profilo.
● Vari valori di k.

7. Scenario ideale(I, II)
I) Reidentificabilità al variare della dimensione k dei sottovettori
considerati.
Reidentificabilità aumenta all’aumentare di k. Per k=10’000 vale circa 50%.
II) Scalabilità del metodo rispetto al numero di utenti considerati.
Reidentificabilità diminuisce all’aumentare del numero di utenti
ma non scende mai sotto al 50%.
Una riduzione di un ordine di grandezza del numero di utenti
porta ad un aumento del 10% della reidentificabilità.

8. Scenario ideale (III)
Impatto della dimensione dei profili sulla reidentificabilità.
utenti divisi in 7 gruppi in base a dim. profili
>80% per dimensione>=151

9. Scenario reale
...
Domini associati alle rispettive compagnie (database predefinito).
⩰ scenario ideale

10. Conclusioni
Riflessioni finali:
1. Minaccia reale.
2. Reidentificabilità potenzialmente più alta.
○ Omogeneità campione studiato.
○ Altre metriche.
○ Altre informazioni su utenti.
○ Partizionamento con device fingerprinting.
3. Responsabilità degli utenti.
Grazie per l’attenzione.