Neue Tracking-Methode für Surfverhalten macht jeden Nutzer gläsern

[Fidefux]

Gerade eben bin ich auf folgenden Spiegel-Artikel gestoßen. Es geht um eine neuartige Tracking-Methode, die auf vielen großen Internetseiten bereits implementiert ist. Im Gegensatz zu Cookies bemerkt der Nutzer nichts von dieser Protokollierung des Surfverhaltens. Es handelt sich um das Unternehmen AddThis.

„Canvas Fingerprinting: Neue Methode zum Online-Tracking macht Verstecken fast unmöglich

Die Website des Weißen Hauses und YouPorn, T-Online.de und Sex.com: Auf Tausenden Websites hat ein US-Unternehmen offenbar eine neuartige Tracking-Technik getestet, vor der man sich kaum verstecken kann […]

Die Methode funktioniert im Groben so: Die angesteuerte Webseite bringt den Browser des Nutzers dazu, im Hintergrund, unsichtbar für den Nutzer, ein Bild zu erstellen. Die Art und Weise, wie dieses Bild erstellt wird, hängt von einer Reihe von Faktoren ab, etwa vom Rechner und der Browserversion, die der jeweilige Nutzer einsetzt. Da fast jede Browser-Computer-Kombination bei der Erstellung dieses Bildes kleine Unterschiede macht, kann so jeweils eine eindeutig identifizierbare Nummernfolge generiert werden. Mit diesem "Fingerabdruck" sei jeder Computer eindeutig und dauerhaft zu erkennen. […]“

Zweck der Sache, so fasst "Pro Publica" das Prinzip zusammen, sei derselbe wie bei herkömmlichen Cookies auch, nämlich die Erstellung von Nutzerprofilen auf Grundlage des Surfverhaltens. Nur dass sich Canvas Fingerprinting nicht mit den bekannten Mitteln außer Kraft setzen lasse. Browser-Schutzeinstellungen würden ebenso versagen wie etwa Werbeblocker. […]

Quelle und weitere Informationen: http://www.spiegel.de/netzwelt/web/...-internetnutzung-nachverfolgbar-a-982280.html

Das Unternehmen AddThis, das diese neue Methode auf vielen Internetseiten implementiert hat, bietet eine Möglichkeit, das Tracking abzuschalten unter folgendem Link: http://www.addthis.com/privacy/opt-out

Ob das allerdings zum von den Nutzern gewünschten Ergebnis führt, darf bezweifelt werden.

 

[geronimoTwo]

Nur Zweiter im Verbreiten von Tagesnachrichten.

https://www.macuser.de/forum/thema/706427-Canvas-Fingerprinting

 

[Fidefux]

Die Mühe, den Inhalt kurz zusammenzufassen, ein paar zusätzliche Informationen zu liefern und Ansatzpunkte zur Diskussion in den Beitrag zu schreiben, hat nun Mal etwas länger gedauert sorry!

 

[Mann im Mond]

Gerade eben bin ich auf folgenden Spiegel-Artikel gestoßen. Es geht um eine neuartige Tracking-Methode,

aha, dann ist das ja jetzt in den Leit-Medien angekommen (Leit-Medien oder besser Leid-Medien ….)

wollen wir uns alle zusammen empören oder wollen wir HTML5 zum Teufel schicken …..

OK, dann empören wir uns jetzt 5 Sekunden (HTML5 Gedenksekunden)

@TE: glaubst Du ernsthaft die Industrie hätte klein bei gegeben …

 

[Fidefux]

Nein, ich glaube auch nicht, dass der Mond eine Scheibe ist

Ich denke allerdings, dass diese Tracking-Methode ein neues Feuer entfachen kann und man das nicht so hinnehmen sollte.

 

[Blinddarm]

Gerade eben bin ich auf folgenden Spiegel-Artikel gestoßen. Es geht um eine neuartige Tracking-Methode, die auf vielen großen Internetseiten bereits implementiert ist. Im Gegensatz zu Cookies bemerkt der Nutzer nichts von dieser Protokollierung des Surfverhaltens. Es handelt sich um das Unternehmen AddThis.

Wie soll das denn gehen, dass der Browser "ein Bild erstellt"? Doch nur mit JavaScript, oder gibt es da noch was? JavaScript habe ich hier schon lange abgeschaltet. Damit bekommt man zwar nur noch eine "Light-Version" des WWW geboten, aber die langt auch.

Beispiel MacUser.de: Man muss neuerdings erst auf irgendeinen Beitrag antworten, um sich ohne JavaScript anmelden zu können; sodann bricht man die Antwort einfach ab und ist erstmal eingeloggt. In den privaten Bereich kommt man ohne JavaScript mW gar nicht mehr. Der Editor bietet nur reines Text-Editieren, HTML-Tags in eckigen Klammern werden aber interpretiert. Egal, geht auch.

 

[mdiehl]

Leider ist das sicherheitstechnisch schon ein alter Hut. Bereits seit 2010 ist Fingerprinting bekannt und so effektiv, dass man bereits vor 4 Jahren genügend Material sammeln konnte.
Um mal zu sehen was alles in einem Fingerprint übertragen wird: https://panopticlick.eff.org
Hier ein Bericht von heise aus dem Jhr 2010: http://www.heise.de/newsticker/meldung/EFF-demonstriert-den-Fingerabdruck-des-Browsers-918262.html
Man kann selbst sehr schnell herausfinden, dass man auch ohne Cookies prima zu identifizieren ist, auch mit einem anderen Browser.

Wer sich dann über Verschlüsselungsverfahren wie TOR o.ä. erkundigt, stellt schnell fest, dass Surfen dann ohne jeden Konfort und mit extrem viel Disziplin möglich ist ohne erkannt zu werden.
AUßerdem wird man evtl. von XKeyScore als "Extremist" eingestuft.
Nein, das ist leider keine Paranoia und ja, ich habe beruflich damit zu tun. Ich muss mal schauen ob ich noch in die USA einreisen darf

 

[mdiehl]

Wie soll das denn gehen, dass der Browser "ein Bild erstellt"? Doch nur mit JavaScript, oder gibt es da noch was? JavaScript habe ich hier schon lange abgeschaltet. Damit bekommt man zwar nur noch eine "Light-Version" des WWW geboten, aber die langt auch.

Der Begriff Bild ist irreführend, es wird sozusagen ein Abbild der Sytemeinstellungen gemacht. Schau Dir das mal unter https://panopticlick.eff.org an.
Selbst in einer Inkognito-Session unter Chrome werden (ohne Javascript) Daten erkannt, die folgendes Ergebnis bringen:

Within our dataset of several million visitors, only one in 2,156,207 browsers have the same fingerprint as yours.

Eine Standardsession (auch ohne Javascript) ergibt:

Your browser fingerprint appears to be unique among the 4,312,476 tested so far.

Das sind ernüchternde Ergebnisse

 

[Blinddarm]

Der Begriff Bild ist irreführend, es wird sozusagen ein Abbild der Sytemeinstellungen gemacht. Schau Dir das mal unter https://panopticlick.eff.org an.

Oho! Ja, jetzt kapier ich's...

Man kann auf Panopticlick aber auch klar sehen, dass das mit dem JavaScript nicht ganz verkehrt ist: Keine Browser-Plugin-Details, keine Time-Zone, keine Screen Size und Color Depth, keine System Fonts, keine Cookies, denn das lässt sich - wenn ich's richtig interpretiere - eben nur mit JavaScript ermitteln. In all diesen Disziplinen bin ich einer von 3.36, haha. Zwar bekomme ich auch die Meldung, dass ich im "Gesamt-Ranking" einer von ca. 2 Millionen bin, ich kann aber die Ursache dafür eingrenzen: Es sind Infos, die beim HTTP-REQUEST anfallen, insbesondere User Agent (und ich benutze einen eher exotischen Browser, was mir hier das Genick bricht...).Wie auch immer: Da sollte sich doch leicht ein PlugIn programmieren lassen, dass immer hübsche Values für den User Agent generiert...

 

[mdiehl]

Oho! Ja, jetzt kapier ich's...

Man kann auf Panopticlick aber auch klar sehen, dass das mit dem JavaScript nicht ganz verkehrt ist: Keine Browser-Plugin-Details, keine Time-Zone, keine Screen Size und Color Depth, keine System Fonts, keine Cookies, denn das lässt sich - wenn ich's richtig interpretiere - eben nur mit JavaScript ermitteln. In all diesen Disziplinen bin ich einer von 3.36, haha. Zwar bekomme ich auch die Meldung, dass ich im "Gesamt-Ranking" einer von ca. 2 Millionen bin, ich kann aber die Ursache dafür eingrenzen: Es sind Infos, die beim HTTP-REQUEST anfallen, insbesondere User Agent (und ich benutze einen eher exotischen Browser, was mir hier das Genick bricht...).Wie auch immer: Da sollte sich doch leicht ein PlugIn programmieren lassen, dass immer hübsche Values für den User Agent generiert...

Richtig. Das Problem ist, dass die heutigen Browser so viele Daten herausgeben ohne technische Notwendigkeit. Es hilft zwar, ohne Javascript zu surfen, aber auch dann ist es schon erschreckend, wie viele Daten man eben durch die Sammlung von Big Data zuordnen kann.
Es gibt Gerüchte, dass man in der Auswertung sehr viel weiter sei als man durch z.B. panopticlick erahnen könne. Man darf nicht vergessen, dass die besten Mathematiker der Welt bei der NSA arbeiten.

 

[Mann im Mond]

Nein, ich glaube auch nicht, dass der Mond eine Scheibe ist

Ich denke allerdings, dass diese Tracking-Methode ein neues Feuer entfachen kann und man das nicht so hinnehmen sollte.

Hinnehmen sollten sollte man auch die bereits bekannten Tracking Methoden nicht.
Trotzdem surfen alle weiter im Internet. Und da sich immer noch Leute im Social Web nackig machen (und damit auch kein Problem haben) sehe ich wirklich keinen Grund hier jetzt laut "empört euch" zu rufen.

Bis Du ein Facebook oder Google+ Kunde dann wirst Du eh komplett getrackt.

Also - was solls - Freunde fresst mehr Scheisse -- 100 Milliarden Fliegen können nicht irren.

 

[Mann im Mond]

Oho! Ja, jetzt kapier ich's...

nee, hast Du noch nicht.
Es geht viel einfacher. Einfach nur die "Speicher" Funktion von HTML5 nutzen - und später wieder abrufen - fertig.

 

[Blinddarm]

nee, hast Du noch nicht.
Es geht viel einfacher. Einfach nur die "Speicher" Funktion von HTML5 nutzen - und später wieder abrufen - fertig.

Könntest du das bitte mal näher erklären?

 

[Mann im Mond]

Könntest du das bitte mal näher erklären?

die Methode die Du meinst ist ungenau
Die Methode die HTML5 Mechanismen einzusetzen ersetzt das klassische Cookie zu 100% und erzielt auch 100% Genauigkeit.

Stichwort: Dauercookie und Samy Kamkar (zum Einstieg)

http://www.heise.de/security/meldung/Das-Zombie-Cookie-1094770.html

Die Technik wurde aber in der Zwischenzeit perfektioniert.
Das das Thema erst jetzt ankommt, ist gelinde gesagt

Aber nun gut. Mein Angebot für 5 Sekunden HTML5 Empörung steht noch. Ersatzweise biete ich einen ein-Mann-shit-storm an

 

[robertm]

Verstehe ich das richtig, das Webseiten den Browser-Cache durchforsten und Informationen auslesen können, die von anderen Webseiten stammen?