Indice
La beta 3 di iOS 16 ha introdotto una nuova funzionalità di privacy: la Modalità di Blocco. L'idea è di disabilitare alcune funzionalità in iOS per ridurre la possibilità di attacchi legati alla privacy.
Apple fornisce un elenco approssimativo delle funzionalità disabilitate in Modalità di Blocco, inclusa una che si distingue immediatamente:
Navigazione web: Alcune tecnologie web complesse, come la compilazione JavaScript just-in-time (JIT), sono disabilitate a meno che l'utente non escluda un sito fidato dalla Modalità di Blocco.
Disabilitare la compilazione JIT in JavaScriptCore implica un calo significativo delle prestazioni dato quanto il web moderno dipenda da JavaScript. Questo articolo misura quanto grande sia realmente tale impatto e cataloga cos'altro viene disabilitato.
Funzionalità disabilitate
Attraverso test manuali e rilevamento delle funzionalità di Modernizr, le seguenti funzionalità sono disabilitate in Modalità di Blocco:
- WebAssembly
- Riproduzione MP3
- MathML
- API Gamepad
- API Web Audio
- WebGL
- JPEG 2000
- API di Riconoscimento Vocale
- MediaDevices.getUserMedia()
- RTCDataChannel
- Visualizzatore PDF
- Font SVG
La maggior parte di queste sono disabilitate per ridurre i vettori di tracciamento passivo degli utenti.
WebAssembly
WASM, sebbene incredibilmente potente, può essere utilizzato per identificare rapidamente i client attraverso discrepanze nel rendering del canvas o scansioni di porte locali, e rende più difficile per i blocchi pubblicitari rilevare i tracker. Questo romperà le app Blazor e altri framework dipendenti da WASM che non hanno un fallback JavaScript.
Riproduzione MP3
Il supporto MP3 è un'eccezione qui. Poiché la maggior parte dei browser lo supporta, disabilitarlo potrebbe identificare il dispositivo come in Modalità di Blocco. Una ragione: evitare exploit di decodifica MP3 creati ad hoc. I siti che si basano su MP3 senza fallback AAC o OGG si romperanno.
MathML
Il rendering di MathML varia leggermente per dispositivo, il che può abilitare il tracciamento attraverso l'oggetto DOMRect di un'espressione MathML renderizzata.
API Gamepad
Senza mitigazione del fingerprinting, l'API Gamepad può tracciare gli utenti attraverso le proprietà id e buttons dopo l'interazione dell'utente con la pagina. I giochi nel browser e le piattaforme di streaming di giochi che si basano sull'input del controller si romperanno.
API Web Audio
L'API Web Audio consente il fingerprinting degli utenti Safari attraverso l'interfaccia webkitOfflineAudioContext e variazioni del segnale tra implementazioni hardware.
WebGL
Il fingerprinting WebGL è una delle tecniche di tracciamento più antiche, sfruttando discrepanze di rendering tra dispositivi individuali anche con hardware identico. Il WebGLRenderingContext espone anche le capacità hardware e le versioni WebGL supportate.
JPEG 2000
Il supporto JPEG 2000 è oggi un identificatore affidabile di Safari — è l'unico browser mainstream che lo supporta.
API di Riconoscimento Vocale
Sebbene l'API Web Speech funzioni sul dispositivo su macOS e iOS, può essere accessibile da una pagina web per registrare gli utenti senza indicazioni evidenti. Questo è separato dalla dettatura iOS e Siri, che rimangono pienamente funzionali.
MediaDevices.getUserMedia()
L'interfaccia MediaDeviceInfo espone una proprietà deviceId persistente per fotocamere, microfoni e altoparlanti, consentendo il tracciamento cross-session su un'unica origine. I siti che richiedono l'accesso a microfono o fotocamera non funzioneranno.
RTCDataChannel
L'API WebRTC può perdere sia indirizzi IP pubblici che locali — anche dietro una VPN — quando comunica con un server STUN.
Visualizzatore PDF
Il visualizzatore PDF di WebKit è disabilitato. Cliccando su un link PDF si attiva un download invece. I documenti possono ancora essere aperti tramite l'app File dopo il download.
Font SVG
I font SVG sono disabilitati, probabilmente per la stessa ragione del JPEG 2000: sono una caratteristica esclusiva di Safari che può essere utilizzata come segnale di fingerprinting.
Nota: Queste modifiche si applicano a tutti i browser iOS e iPadOS poiché sono tutti obbligati a utilizzare WebKit. Chrome, Firefox e Brave su iOS sono ugualmente interessati.
Impatto sulle prestazioni
Disabilitare la compilazione JIT in JavaScriptCore influisce sulle prestazioni su praticamente ogni sito web, con un probabile effetto secondario sulla durata della batteria.
I benchmark seguenti sono medie su 10 esecuzioni, registrate su un iPhone 13 mini con iOS 16 developer beta 3.
Octane
Octane non è più mantenuto ma rimane un utile punto di riferimento relativo per le prestazioni JavaScript all'interno dello stesso browser.
Risultato: ~95% di calo delle prestazioni. Questo sembra drammatico — e lo è per carichi di lavoro puramente JS — ma il browser nel suo complesso non è più lento del 95%, poiché la pipeline di rendering, il layout e il networking non sono influenzati.
JetStream 2.0
JetStream non può essere completato: il suo forte focus su WebAssembly significa che semplicemente si blocca in Modalità di Blocco.
Speedometer 2.0
Speedometer misura le prestazioni dei framework JavaScript nel mondo reale simulando interazioni utente attraverso più framework. Questo offre una visione più pratica dell'impatto.
Risultato: ~65% di calo delle prestazioni. Significativo, ma non così estremo come il risultato di Octane. Per gli utenti che richiedono il compromesso sulla privacy, questo sposta la decisione da "completamente impraticabile" a "un compromesso deliberato."
MotionMark 1.2
A differenza della maggior parte dei benchmark grafici, MotionMark si basa principalmente sul rendering HTML e SVG attraverso operazioni CSS e canvas piuttosto che WebGL.
Risultato: ~20% di calo — largamente impercettibile nell'uso quotidiano.
Conclusione
Per gli utenti a rischio di attacchi mirati, la Modalità di Blocco è una prima linea di difesa pratica. È facile da attivare e copre un insieme significativo di vettori di tracciamento e sfruttamento basati sul browser senza richiedere competenze tecniche.
Non bloccherà tutto il fingerprinting — il nostro realtà del controllo del tracciamento di Safari dettaglia cosa ancora sfugge. Apple ha specificamente mirato a API che sono difficili da controllare per gli utenti non tecnici tramite mezzi convenzionali. La penalità del 65% su Speedometer è il vero costo — accettabile per un individuo ad alto rischio, proibitivo per l'uso generale.
Aggiornamento 2026
Quattro anni dopo — il nostro retrospettiva di quattro anni sulla Modalità di Blocco copre l'intero periodo — la Modalità di Blocco è stata ulteriormente rafforzata in iOS 17 e iOS 18. Apple ha aggiunto protezioni al di fuori del browser — limitando alcune funzionalità di FaceTime, accessori USB e opzioni di connettività wireless in scenari di minaccia estrema.
In Safari, il compromesso JIT è invariato: JIT rimane disabilitato in Modalità di Blocco, e il divario di prestazioni è approssimativamente lo stesso sull'hardware moderno — i nostri benchmark JIT di WebKit del 2026 forniscono i numeri attuali. L'elenco delle API web bloccate è leggermente cresciuto; WebGL2 e alcune funzionalità avanzate di WebRTC ora si uniscono alla lista di blocco.
La funzionalità non è più sperimentale. È documentata, supportata e utilizzata da giornalisti, attivisti e ricercatori di sicurezza in tutto il mondo. Se utilizzi iOS 18 e lavori in un contesto sensibile, il caso per abilitare la Modalità di Blocco — almeno su un dispositivo secondario — è più forte di quanto non fosse nel 2022.
