Canvas-Fingerprinting: Eine Trackingtechnik, vor der man sich nicht schützen kann

Schnitzel2k8

Active member
Registriert
10 Jan. 2008
Beiträge
2.343
Hallo zusammen,

entweder interessiert es die meisten hier nicht so sehr, oder ich hab die bisherige Diskussion über Canvas-Fingerprinting übersehen. Hier mal ein Link zum Heise-Artikel:
http://www.heise.de/newsticker/meld...loeschbare-Cookie-Nachfolger-ein-2264381.html

Canvas-Fingerprinting macht sich zunutze, dass sich, wenn man die Canvas-API moderner Browser nutzt, subtile Unterschiede beim Rendering desselben Textes ergeben. Diese Unterschiede lassen sich messen und in einen Fingerabdruck umrechnen, mit dem sich der einzelne Browser identifizieren lassen soll. Das Ganze passiere innerhalb eines Sekundenbruchteils und ohne dass der Anwender etwas davon mitkriegt.

Für mich ist das ein ziemlicher Supergau. In der Arbeit, die das Ganze untersucht hat (hier die Kurzfassung: https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html) , werden auch die Werbefirmen benannt, welche diese Technik einsetzen. Als Ad-hoc Schutzmaßnahme würde ich die über meine Host-Datei sperren (auf 127.0.0.1 umlenken), oder habt ihr bessere Tips/Ideen dieser Technik zu entgehen?
 
Ja, die eingesetzte Technologie ist bekannt. Wurde auch gestern gerade dazu ein Beitrag verfasst.
 
ich bin schon vor längerem dazu übergegangen noscript und request policy zu benutzen. flash wird nur auf nachfrage aktiviert (kann firefox von haus aus). damit sollten die angriffe weitestgehend ins leere laufen.
wirklich bequem ist das nicht unbedingt, aber man sieht gut, von wo eine seite inhalte einbindet, egal ob scripte oder andere dinge. z.t. ist das echt gruselig. bei manchen seiten hab ich das gefühl dass nach einem besuch mit runtergelassenen hosen (also ohne noscript und request policy) das halbe internet bescheid weiß, dass ich auf der seite gewesen bin.
 
Man beachte auch diesen imho sehr informativen Beitrag, wo eines dieser Tracking-Skripte genau in seine Bestandteile aufgeschlüsselt wird.

Konkret gesehen, reichen die Daten des Canvas-Fingerprints aber noch nicht aus, um einen Benutzer zu 100% wiederzuerkennen. Kombiniert man diese Informationen aber mit anderen Hinweisen, die der Benutzer bei einem Seitenbesuch hinterlässt (z. B. Browser-Version, Betriebssystem, Auflösung, Plugins), kann man einen Besucher schon ziemlich genau wiedererkennen. Wobei es auch hier natürlich sein könnte, dass jemand anderes die zu 100% identische Konfiguration benutzen könnte, z. B. in einer Firma wo jeder den selben PC mit der selben Software hat.

Das schlechte an den Fingerprints ist, dass man diese nicht so einfach löschen kann, wie z. B. ein Tracking-Cookie. Es bleibt einem wohl derzeit nur ein Blocken des Tracking-Skripts (oder generell Javascript) übrig, damit überhaupt erst kein Fingerprint errechnet werden kann.


Grüße
Thomas
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben