Migliora la sicurezza di Qutebrowser

10/09/2022 di Writer

Qutebrowser è unico nel panorama dei navigatori, perché consente di viaggiare nel web anche senza usare il mouse. Su questo, però, torneremo in un apposito articolo, quello che ci interessa ora è la sicurezza: non solo perché il programma è uno dei pochi col label "not spyware" secondo Watchdog, ma anche perché il livello di protezione può essere incrementato con alcuni semplici accorgimenti.

Si parte con la configurazione dei parametri relativi ai cookie e a javascript. Il modo più semplice è digitare :. Apparirà una sorta di mini-terminale ai piedi della finestra in cui potrete copiare la stringa seguente e poi premere invio:

set content.javascript.enabled false

In questo modo javascript è disabilitato di default, un'ottima prassi che qui potete adottare senza bisogno di plugin o estensioni. Fatto ciò, digitate ancora : e inserite quanto segue per disabilitare dappertutto i cookie:

set content.cookies.accept never

E già che ci siete aggiungete questi tre parametri, uno alla volta, nel modo che avete appena visto:

set content.private_browsing true
set completion.cmd_history_max_items 3
set completion.web_history.max_items 3

Il primo dei tre parametri appena inseriti vi fa navigare in modalità anonima, il secondo e il terzo riducono la cronologia dei comandi e della navigazione web a 3 voci: quanto basta per tornare indietro nella medesima sessione senza lasciare però eccessive tracce della vostra vita informatica (se un sito vi interessa, salvatelo: non affidatevi alla cronologia per ricuperarlo).

Ecco, ora avete un browser "sano" (e snello)... al quale però molti siti risulteranno inaccessibili! Ma ora vedremo come creare alcune scorciatoie che vi permetteranno di volta in volta, per quel singolo sito che vi interessa, abilitare i cookie o javascript.
Il punto è che abbiamo ribaltato l'abituale (malsana) prospettiva: non accettiamo qualunque schifezza da qualunque junk-sito, salvo poi dannarci per ripulire il nostro browser o il pc dalla spazzatura; al contrario, qui noi rifiutiamo tutto in partenza, e se abbiamo bisogno di navigare in un sito che esige cookie o javascript li autorizziamo o revochiamo a nostro piacimento.

Creiamo dunque le scorciatoie, iniziando coi soliti : per inserire la nostra stringa (dopodiché premiamo invio):

bind ,jt set content.javascript.enabled true -u *://{url:host}/*

Vediamo nel dettaglio:

  • bind : crea una scorciatoia;
  • ,jt : è la scorciatoia stessa, inventata a piacimento. Deve iniziare da , e avere poi una o più lettere/numeri (qui ho scelto j come "javascript" e t come "true") senza spazi in mezzo;
  • set: è il comando con cui si inserisce il parametro di configurazione;
  • content.javascript.enabled: è il parametro che vogliamo inserire, che in questo caso è javascript;
  • true: è il valore che vogliamo dare a quel parametro (qui stiamo dicendo che javascript è autorizzato);
  • -u *://{url:host}/*: applica il comando al sito che state guardando in questo momento, inclusi i relativi sottodomini e le varie pagine.

Ecco spiegato. Ora inseriamo allo stesso modo altri cinque parametri, sempre uno alla volta (fidatevi, poi vedremo come si usano):

bind ,jf set content.javascript.enabled false -u *://{url:host}/* 
bind ,ca set content.cookies.accept all -u *://{url:host}/*
bind ,cn set content.cookies.accept never -u *://{url:host}/*
bind ,c3 set content.cookies.accept no-3rdparty -u *://{url:host}/*
bind ,cu set content.cookies.accept no-unknown-3rdparty -u *://{url:host}/*

IMPORTANTE: alla fine di tutte queste operazioni dovete salvare tutto, sennò al prossimo riavvio di Qutebrowser non ritroverete le vostre modifiche. Per questo come sempre :, inserimento stringa poi invio. Ecco il comando da copiare-incollare per salvare la vostra nuova configurazione:

config-write-py --force

Ecco fatto. Ora avete un browser che può autorizzare o revocare l'uso di cookie e javascript sul singolo sito di cui avete bisogno. Facciamo un esempio: se avete un account su mastodon.uno, digitate o (= "open", apre un indirizzo nel medesimo tab) oppure la lettera maiuscola O (= apre un indirizzo in un nuovo tab)... e vedrete che non potete accedere. Allora digitate ,c3 e poi ,jt e per magia apparirà la finestra di login del vostro server mastodon, perfettamente funzionante.
Avrete notato che non appena cominciate a digitare , appare una finestrella ai piedi dello schermo con l'elenco delle vostre scorciatoie: utile a chi ha problemi di memoria!

Un ultimo consiglio. Mentre per javascript dovete scegliere solo tra "true" (scorciatoia ,jt) e "false" (,jf), per i cookie avete quattro opzioni, dalla più stretta alla più larga, ossia da "never" (scorciatoia ,cn) a "no third party" (,c3) a "no unknown third party" (,cu) fino ad "all" (,ca). Mi raccomando, se autorizzate i cookie iniziate sempre dall'opzione più ristretta, poi ricaricate la pagina (schiacciate il tasto R) e vedete se funziona; se non è il caso provate con l'opzione successiva.

Non mi resta che augurarvi buona navigazione sicura* con Qutebrowser.

[* il concetto, beninteso, è relativo. Si tratta in realtà di riduzione del rischio: in informatica, come nella vita, non c'è mai nulla di sicuro...]

NOTA AGGIUNTIVA Può accadere che su alcuni siti rognosi come Amazon, pura espressione del Grande Fratello, i comandi universali di cui sopra non funzionino. In questo caso basta sostituire {url:host} con l'URL di Amazon. Per esempio, invece di digitare la scorciatoia ,cu3 che corrisponde al comando

set content.cookies.accept no-3rdparty -u *://{url:host}/*

basterà digitare : , inserire

set content.cookies.accept no-3rdparty -u *://amazon.it/*

(qui basta l'opzione "no third party", non c'è bisogno di autorizzare tutti i cookie con "all") e premere invio per accedere al portale. Lo stesso metodo si può ovviamente applicare a qualunque altro sito dovesse mostrarsi refrattario alle nostre scorciatoie.

Tag: tastiera, sicurezza, browser