[Netzwelt] Browser-Tracking: Erste Websites verwenden Canvas Fingerprinting statt Cookies

Cookies zu setzen, um bestimmte Benutzer wiederzuerkennen, das ist im Internet bereits jetzt gang und gäbe. Forscher der Universitäten Princeton (USA) und Leuven (Belgien) fanden nun heraus, dass einige Websites mittlerweile auf eine bisher kaum beachtete Methode setzen, um Benutzer wiederzuerkennen: Canvas Fingerprinting.

Diese Technik ist bereits seit 2012 bekannt, und findet nun bereits auf

You do not have permission to view link please Anmelden or Registrieren

Anwendung. Laut den Forschern greifen unter anderem auch die Werbeanbieter von T-Online.de, Kinox.to und YouPorn zu dieser Methode. Fast alle der betroffenen Websites lassen sich derzeit auf einen einzelnen Werbeanbieter zurückführen: addthis.com

Canvas-Elemente sind seit HTML5 Standard in der Auszeichnungssprache. Jeder einzelne Browser erzeugt beim Rendering von Canvas-Elementen und -Texten minmalste Unterschiede - kaum bemerkbar für den Benutzer aber dennoch messbar. Über Javascript lässt sich aus der Darstellung von Canvas-Elementen so ein eindeutiger Fingerabdruck für jeden einzelnen Browser generieren. So lassen sich Besucher auch abseits von Cookies wiedererkennen.

Problem bei Canvas-Fingerprinting: Man kann nicht einfach, wie bei Cookies, den Fingerabdruck löschen. Das Rendering des Browsers bleibt weiterhin das selbe, es sei denn, man wechselt den kompletten Browser. Die einzige Abhilfe dürfte derzeit sein, Javascript auf den betroffenen Websites abzuschalten bzw. die Fingerprint-Skripts zu blocken, damit kein Fingerabdruck mehr errechnet werden kann.


Quelle:

You do not have permission to view link please Anmelden or Registrieren

/

You do not have permission to view link please Anmelden or Registrieren

 

[Pleitgengeier]

Wie wäre es dann noch, eine zufällige Pause von 10-10.000us beim Redern von Grafiken einzubauen?

 

[KidZler]

You do not have permission to view link please Anmelden or Registrieren

Wen du das ding "Aktuell" Hälst könntest du doch hier nen eigenes Thema dazu aufmachen

 

[thom53281]

Ich würde mir da auch einen eigenen Thread wünschen, am besten hier. Das Addon ist ziemlich simpel und dennoch soo gut, das wäre sehr schade drum, wenn es in irgendeinem News-Thread auf Seite 2 versauern würde.


Grüße
Thomas

 

[Promillus]

Ich hab das mal als Proof-of-Concept in einem Firefox-AddOn umgesetzt. Auch für das *unknackbare* Canvas-Footprinting hab ich eine simple Lösung, die imho zumindest in den von mir getesteten Footprinting-Scripten zuverlässig funktioniert.

You do not have permission to view link please Anmelden or Registrieren

Das AddOn deaktiviert bei mir im Firefox den Flashplayer. Somit sind viele Webseiten nicht mehr richtig nutzbar.

Ist das so geplant wegen dem Verwischen der Footprints oder einfach nur ein Bug?

 

[Bubbels]

Mittlerweile gibt es ein richtig gutes addon was auch ständig aktuell gehalten wird.

You do not have permission to view link please Anmelden or Registrieren

 

[joni]

Für Chrome gibt es eine Erweiterung

You do not have permission to view link please Anmelden or Registrieren

und eine Testseite findet man hier

You do not have permission to view link please Anmelden or Registrieren

 

[HanZ]

You do not have permission to view link please Anmelden or Registrieren

Blöde Frage, aber was genau sagt mit die Testseite? Ich weiß was MIME-Typen sind, aber warum sind die verschieden, bzw. gleich? Zumindest bei mir siehts so aus: Ist das nun gut oder schlecht?

You do not have permission to view link please Anmelden or Registrieren

 

[Shodan]

mit about:config
layout.css.visited_links_enabled auf false kann man Abfragen auf die Browserhistorie über CSS unterbinden, allerdings hat man dann auch selber keine farbliche Kennzeichnung der besuchten Links mehr

Soweit mir bekannt ist, wurde das CSS History Leak schon vor Jahren dicht gemacht:

You do not have permission to view link please Anmelden or Registrieren

 

[Jester]

Nu ma ohne Flachs, benutzt doch einfach eine bootfähige Live-DVD zum Surfen... so was wie Knoppicillin oder CT Desinfect.
Alle User mit diesen Eigenschaften sind (bis auf die Auflösung ggfs.) gleich.

Nix sinnvolles Fingerprinting, nix persistente Cookies/Evercookies, nix window.localSorage / sessionStorage.
Ist verlässlich, nicht Leak-gefährdet und stressfrei.

Dann noch ggfs. über VPN und gut is.

 

[joni]

You do not have permission to view link please Anmelden or Registrieren

Das ist gut.

Das ist nicht so gut.

You do not have permission to view link please Anmelden or Registrieren

 

[HanZ]

Kannst du mir erklären, was damit gemeint ist? Also was heißt requested, was ist mit actual gemeint? (Und was heißt das ganz links?)

 

[accC]

In diesem Zusammenhang:
requested = gefragt / angefordert
actual = gegeben/ geliefert

Also es wurde ein bestimmter mime type angefordert (requested) und ein ggf. davon abweichender mime type (actual) wurde geliefert.