|
Eine neue Tracking Technik auf dem Internet macht Besucher
von Webseiten identifizierbar. Momentan scheint man dagegen nicht
viel auszurichten zu haben. Rechner-Browser-Computer Kombination
zusammen mit der IP addresse des Providers macht einen Besucher
in den meisten Fällen identifizierbar. Da hilft auch die
Deaktivierung von Cookies, Werbeblockierungssoftware oder
eine manuelle "User Agent" Einstellung im Brower (die vorgaukelt
von einem anderen Browser aus zu surfen) nichts.
|
Spiegel:
Auf Tausenden Websites hat ein US-Unternehmen offenbar eine neuartige
Tracking-Technik getestet, vor der man sich kaum verstecken kann.
Wer nicht möchte, dass Webseitenbetreiber über seine Besuche
Protokoll führen, deaktiviert im Browser die Cookies oder löscht
sie regelmässig. Doch das Gefühl, damit die eigenen Spuren
verwischt zu haben, ist trügerisch. Denn inzwischen existiert
eine Methode zur Verfolgung der Online-Aktivitäten, die kaum
noch ausgehebelt werden kann. Unter dem Namen "Canvas Fingerprinting"
wird sie bereits von Tausenden Websites eingesetzt. Ihre Nutzer reichen
nach Angaben von Wissenschaftlern vom Schmuddel-Portal YouPorn bis zum
Netzauftritt des Weissen Hauses. Auch t-online.de steht auf der bunt
gemischten Liste, die Forscher von der Princeton University und der
Universität von Löwen nun veröffentlichten. Die Telekom
erklärte auf Anfrage: "Die Deutsche Telekom wusste nichts von
der eingesetzten Methode auf t-online.de. Wir werden dem Sachverhalt
nachgehen und diese nicht abgestimmte Form des Trackings unterbinden."
Die Wissenschaftler haben das bereits seit einiger Zeit grundsätzlich
bekannte Funktionsprinzip der Verfolgungs-Software beschrieben und auf
Tausenden Websites nachgewiesen. Die Methode funktioniert im Groben
so: Die angesteuerte Webseite bringt den Browser des Nutzers dazu, im
Hintergrund, unsichtbar für den Nutzer, ein Bild zu erstellen. Die
Art und Weise, wie dieses Bild erstellt wird, hängt von einer
Reihe von Faktoren ab, etwa vom Rechner und der Browserversion, die der
jeweilige Nutzer einsetzt. Da fast jede Browser-Computer-Kombination bei
der Erstellung dieses Bildes kleine Unterschiede macht, kann so jeweils
eine eindeutig identifizierbare Nummernfolge generiert werden.
Mit diesem "Fingerabdruck" sei jeder Computer eindeutig und dauerhaft
zu erkennen. Die Technik des "Browser-Fingerprinting" ist an sich nicht
neu, doch der Trick mit dem verborgenen Bild scheint das Verfahren noch
einfacher und verlässlicher zu machen. Ein russischer Entwickler
namens Valentin Wasilyew, der sich schon seit Jahren mit der Technik
beschäftigt, sagte "ProPublica" allerdings: "Fingerprinting
funktioniert auf Mobilgeräten nicht gut."
Heise:
Wissenschaftler der Princeton University und der Katholieke
Universiteit Leuven haben in einer Studie untersucht, wie weit
sogenannte nicht-löschbare Tracking-Techniken bereits im Einsatz
sind. Dazu haben sie die Homepages der meistbesuchten 100.000 Sites nach
Canvas-Fingerprinting sowie Evercookies durchforstet.
Canvas-Fingerprinting macht sich zunutze, dass sich, wenn man die
Canvas-API moderner Browser nutzt, subtile Unterschiede beim Rendering
desselben Textes ergeben. Diese Unterschiede lassen sich messen und
in einen Fingerabdruck umrechnen, mit dem sich der einzelne Browser
identifizieren lassen soll. Das Ganze passiere innerhalb eines
Sekundenbruchteils und ohne dass der Anwender etwas davon mitkriegt.
(...)
Evercookies sind schon länger bekannt. Der Ansatz kombiniert
mehrere Speichertechniken, um dauerhaft einen eindeutige Kennung im
Browser unterzubringen. Dazu zählen unter anderem HTTP-, Flash-
und Silverlight-Cookies, HTML5-Techniken wie LocalStorage, und auch
ausgefallene Speichermethoden wie Caching mit Hilfe von PNG-Grafiken.
Die Forscher bescheiben in ihrer Studie einen neuen Evercookie-Vektor,
IndexedDB.
Wenn der Benutzer eines dieser Teil-Cookies eines Evercookies löscht,
hilft ihm das gar nichts; Evercookies können ihre Einzel-Cookies
mit den anderen, nicht gelöschten Cookies wiederherstellen. Der
Anwender muss sich also schon sehr gut auskennen, um Evercookies von
Hand aus dem Browser zu tilgen. Die Datenschutzfunktionen der Browser
genügen dazu nicht. Die Wissenschaftler haben Evercookies auf 10
der 200 meistbesuchten Websites gefunden.