So wurden Freiwillige untersucht, die die Seite http://panopticlick.eff.org/ besucht haben. Jeder Interessierte kann dort auch herausfinden, ob auch sein Browser einen eindeutigen Fingerabdruck hinterlässt.
Die Webseite speichert in anonymer Form die Konfiguration und Version von jedem Teilnehmer. Daten wie das Betriebssystem, Browser und Browser-Plugins werden so ausgewertet und zu einem Fingerabdruck zusammengefasst. Danach wird dieser Fingerabdruck mit den schon bekannten Fingerabdrücken verglichen. Mein Browser war Nummer 842.574 und eindeutig in seinem Fingerabdruck.
So hinterließen 84% aller Browser einen eindeutigen Fingerabdruck. Bei Browsern mit Adobe Flash oder Java Plugins waren es sogar 94%, die eindeutig und nachverfolgbar waren. In diesem Experiment wären alle Daten anonymisiert erfasst woorden, aber die meisten Webseiten würden das nicht tun. Browser-Fingerprinting wäre einen kraftvolle Technik und die Fingerabdrücke wären neben Cookies und IP-Adressen ein großes Thema, wenn man über Datenschutz und Privatsphäre im Web sprechen möchte.
Nebenbei bemerkt hat die EFF nur den Fingerprint untersucht. Folgende Faktoren würden die Möglichkeiten der eindeutigen Identifizierung noch weiter erhöhen:
GeoIP
Schon heute kann zu fast jeder IP-Adresse ein ungefährer Standort ermittelt werden. Je genauer die Daten sind, desto kleiner die Fehlerrate bei der Identifizierung eines Besuchers. Wenn also zwei Besucher den gleichen Browser-Fingerabdruck hätten, dann könnte man Sie auseinanderhalten, wenn der eine Besucher aus Kanada kommt und der andere aus den USA.
Die Geo-IP-Daten sind in der Regel aber weit genauer. So lässt sich oft auch Bundesland, Stadt und manchmal auch ein ungefährer Ort ausmachen. Das verringert die Tolleranz nochmals.
Cookies und Flash-Cookies
Wer Cookies nicht deaktiviert, der muss sich auch keine Gedanken um den Fingerprint machen, denn er wird sowieso erkannt. Auch Flash kann Cookies akzeptieren. Dort heißt es zwar Website Storage, aber das Prinzip ist ähnlich. Deaktiviert man beides, schützt man seine Privatsphäre, wenn man das denn überhaupt möchte.
Was meint Ihr zum Browser-Fingerabdruck?
Kommentare
Tatsächlich, dank den zahlreichen UAs, die es mittlerweile gibt, kann man Benutzer sehr gut auseinander halten. Auch wenn mal ihre IP sich ändert oder sie alle Cookies in ihre Browsern löschen.
Nun wäre eine Bibliothek, ähnlich wie die von Maxmind, angebracht, die all die Sachen beim Tracking beachten würde, also IPs, Cookies, Browser-UAs und Geo Position.
Wie kann ich den Flash-Cookies unter Chrome ausschalten?
man könnte Flash auch komplett blocken. Einfach mit FlashBlock für Firefox. Dann kann man nur die Flash-Objekte abspielen lassen, die man braucht
Wobei man so nicht unbedingt geschützt ist, wenn das Objekt, dass man erlaubt Flash-Cookies zum Tracken benutz, oder?
Natürlich nicht, dann wird das erlaubte Flash-Objekt normal abgespielt. Um alle Cookies wirklich komplett zu bekämpfen gibt es da noch BetterPrivacy
Zur Deaktivierung der Flash-Cookies hat Adobe ein Tool bereitgestellt: http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager03.html
Normale Cookies und DOM-Storage sollte man dagegen direkt im Browser löschen können. Oder mit einem der zahlreichen Tools, wobei mir nicht bekannt ist, welches man empfehlen kann.
Durchaus ein guter Ansatz, aber:
Ausserdem lässt sich die Identifikation mit ein paar kleinen Einstellungen beeinflussen.
Cookies aus:
Meiner Meinung lassen sich dadurch keine eindeutigen Ergebnisse erzielen und von einem Fingerabdruck zu sprechen find ich etwas zu hoch angesetzt da die Möglichkeit einer Verwechslung / Überschneidung besteht.
Hm… da hat mich mein schlechtes Englisch doch knallhart reingeritten… und die fehlende Editierfunktion für Komentare wird mir solangsam zum Verhängnis ;)
Theoretisch besteht ja auch beim menschlichen Fingerabdruck die Möglichkeit einer Verwechslung. Sicher ist der bestimmt eindeutiger, als es der "Browser-Fingerabdruck" ist.
Bei sehr wenigen Besuchern wäre eventuell sogar schon die Bildschirmauflösung ausreichen zur Identifikation des Einzelnen. Nehme ich aber weitere Faktoren dazu, dann wird die Fehlerquote auch bei großen Massen schon geringer. Wenn ich jetzt noch davon ausgehe, dass ich 80% aller Besucher durch einen Cookie erkenne, dann brauch ich mich nur noch um die restlichen 20% kümmern.
Die Seite oben nutzt Geo-IP, Cookies und Flash Cookies ja gar nicht. Die Toleranz lässt sich dadurch in meinen Augen enorm verringern. Hätte fast Lust mal in die Richtung zu programmieren, denn ich bin mir sicher, dass man es schafft fast 100% aller Besucher wieder zu erkennen. Zumindest solange 80% aller Besucher eh Cookies akzeptieren. In der Realität wird man mit Cookies und Flash-Cookies wahrscheinlich schon auf über 99% kommen.
Kommentieren