Der Browser, der zu viel wusste
Zombie-Cookies sind schon ziemlich gruselig, ...
Die wichtigsten Fingerprinting-Informanten
Besonders problematisch sind die Plug-Ins und die Fonts. Sie führen dazu, dass die allermeisten Browser ein eindeutiges, womöglich weltweit einzigartiges Profil hinterlassen. In der EFF-Untersuchung waren es etwa 94 Prozent.
Besonders problematisch sind die Plug-Ins und die Fonts. Sie führen dazu, dass die allermeisten Browser ein eindeutiges, womöglich weltweit einzigartiges Profil hinterlassen. In der EFF-Untersuchung waren es etwa 94 Prozent.
Die Informationen zu den System-Fonts werden über Flash oder Java ermittelt. Nur wenn beides deaktiviert ist, können die Fonts nicht für das Fingerprinting verwendet werden. Die Liste der installierten Schriften ist oft sehr lang. Auch wenn Sie nie bewusst eine Schriftart installiert haben, können Fonts durch eine simple Software-Installation auf Ihr System gelangen und so ein wichtiges Erkennungsmerkmal bilden.
Immerhin kann man dies noch unterbinden, indem man sowohl Flash als auch Java deaktiviert. Bei den Plug-Ins nützt das nichts. Das Hauptproblem bei den Plug-Ins sind die extrem genauen Versions-Angaben. Kaum zwei Browser haben bei sämtlichen Plug-Ins exakt dieselbe Version installiert. Hier hilft nur die Deaktivierung von JavaScript. Ohne JavaScript ist man jedoch beim Surfen ziemlich eingeschränkt. Eine nützliche Hilfe ist unter Firefox das Add-on NoScript. Damit lässt sich JavaScript grundsätzlich deaktiveren, jedoch für benötigte Fälle punktuell einschalten.
Immerhin kann man dies noch unterbinden, indem man sowohl Flash als auch Java deaktiviert. Bei den Plug-Ins nützt das nichts. Das Hauptproblem bei den Plug-Ins sind die extrem genauen Versions-Angaben. Kaum zwei Browser haben bei sämtlichen Plug-Ins exakt dieselbe Version installiert. Hier hilft nur die Deaktivierung von JavaScript. Ohne JavaScript ist man jedoch beim Surfen ziemlich eingeschränkt. Eine nützliche Hilfe ist unter Firefox das Add-on NoScript. Damit lässt sich JavaScript grundsätzlich deaktiveren, jedoch für benötigte Fälle punktuell einschalten.
Kontraproduktiver «Privatsphäre-Schutz»
Besonders perfid am Browser-Fingerabdruck ist, dass gewisse Massnahmen, die eigentlich die Privatsphäre erhöhen sollen, den Betroffenen noch leichter identifizieren lassen. Ein offensichtlicher Fall tritt auf, wenn man die Angabe «User Agent» selbst ändert. Als User Agent wird der Name bezeichnet, mit dem sich ein Browser (oder ein E-Mail-Programm) zu erkennen gibt. Wer zum Beispiel nicht möchte, dass eine Webseite ihn als Firefox-User identifiziert, kann Firefox so konfigurieren, dass ein anderer Name ausgegeben wird. Wählt man dabei einen Fantasienamen, ist man womöglich der einzige auf der Welt mit dieser Bezeichnung und so ohne weiteres identifizierbar. Aber auch, wer den Firefox als Internet Explorer ausgibt, tappt in die Falle. Warum? Weil die anderen Angaben, etwa über Browser-Plug-Ins, nicht zum Internet Explorer passen. Man gibt sich damit zu erkennen als «Firefox-Nutzer, der vorgibt, ein IE-Nutzer zu sein» – und davon gibt es weit weniger als von gewöhnlichen Firefox-Nutzern.
Eine ähnliche Wirkung haben laut EFF Flash-Blocker. Sie führen dazu, dass in der Plug-In-Auflistung Flash zwar aufgeführt ist, jedoch Flash die Systemschriften nicht herausgibt – eine sehr seltene Kombination zweier Merkmale und damit ideal fürs Fingerprinting. Nützlich gegen Fingerprinting ist, wie erwähnt, das Add-on NoScript.
Besonders perfid am Browser-Fingerabdruck ist, dass gewisse Massnahmen, die eigentlich die Privatsphäre erhöhen sollen, den Betroffenen noch leichter identifizieren lassen. Ein offensichtlicher Fall tritt auf, wenn man die Angabe «User Agent» selbst ändert. Als User Agent wird der Name bezeichnet, mit dem sich ein Browser (oder ein E-Mail-Programm) zu erkennen gibt. Wer zum Beispiel nicht möchte, dass eine Webseite ihn als Firefox-User identifiziert, kann Firefox so konfigurieren, dass ein anderer Name ausgegeben wird. Wählt man dabei einen Fantasienamen, ist man womöglich der einzige auf der Welt mit dieser Bezeichnung und so ohne weiteres identifizierbar. Aber auch, wer den Firefox als Internet Explorer ausgibt, tappt in die Falle. Warum? Weil die anderen Angaben, etwa über Browser-Plug-Ins, nicht zum Internet Explorer passen. Man gibt sich damit zu erkennen als «Firefox-Nutzer, der vorgibt, ein IE-Nutzer zu sein» – und davon gibt es weit weniger als von gewöhnlichen Firefox-Nutzern.
Eine ähnliche Wirkung haben laut EFF Flash-Blocker. Sie führen dazu, dass in der Plug-In-Auflistung Flash zwar aufgeführt ist, jedoch Flash die Systemschriften nicht herausgibt – eine sehr seltene Kombination zweier Merkmale und damit ideal fürs Fingerprinting. Nützlich gegen Fingerprinting ist, wie erwähnt, das Add-on NoScript.
Browser-Entwickler reagieren bislang nicht
Der Test und die dazugehörige veröffentlichte Studie sind keineswegs neu – sie stammen von Anfang 2010. Trotzdem ist nach wie vor alles gültig, was darin geschrieben wurde, weil die Browser-Entwickler bislang nichts gegen Fingerprinting unternommen haben. Bei der Mozilla-Foundation hat man die Studie zwar zur Kenntnis genommen, aber die darin enthaltenen Vorschläge bislang nicht umgesetzt. Der Autor der Studie, Peter Eckersley, schlägt vor, dass die Schriftarten sortiert werden, um die Zahl möglicher Kombinationen zu reduzieren. Ausserdem sollen bei Plug-Ins nicht mehr zwingend die Versionsnummern auf die Tausendstelstelle genau angegeben werden, also zum Beispiel anstatt «Java 1.6.0_17» nur noch «Java 1.6». Für Entwickler, die einen Fehler finden müssen, sollen die Details zwar weiterhin bekommen, aber nur wenn dies als Option eingestellt ist. Wenn beispielsweise «Privates Surfen» aktivert ist, sollten laut Eckersley die Versionen weniger detailliert angegeben werden.
Der Test und die dazugehörige veröffentlichte Studie sind keineswegs neu – sie stammen von Anfang 2010. Trotzdem ist nach wie vor alles gültig, was darin geschrieben wurde, weil die Browser-Entwickler bislang nichts gegen Fingerprinting unternommen haben. Bei der Mozilla-Foundation hat man die Studie zwar zur Kenntnis genommen, aber die darin enthaltenen Vorschläge bislang nicht umgesetzt. Der Autor der Studie, Peter Eckersley, schlägt vor, dass die Schriftarten sortiert werden, um die Zahl möglicher Kombinationen zu reduzieren. Ausserdem sollen bei Plug-Ins nicht mehr zwingend die Versionsnummern auf die Tausendstelstelle genau angegeben werden, also zum Beispiel anstatt «Java 1.6.0_17» nur noch «Java 1.6». Für Entwickler, die einen Fehler finden müssen, sollen die Details zwar weiterhin bekommen, aber nur wenn dies als Option eingestellt ist. Wenn beispielsweise «Privates Surfen» aktivert ist, sollten laut Eckersley die Versionen weniger detailliert angegeben werden.
Autor(in)
David
Lee
Kommentare
Es sind keine Kommentare vorhanden.