Abo
  • IT-Karriere:

Datenschutz: Browser-Fingerprinting gestern und heute

Kaum ein Browser ist wie ein anderer, das wissen auch Dienste im Internet und nutzen den Fingerprint, um ihre Nutzer wiederzuerkennen. So vielfältig wie das Fingerprinting sind allerdings auch die Verteidigungsmöglichkeiten.

Ein Bericht von veröffentlicht am
Nutzer können über den Fingerabdruck ihres Browsers wiedererkannt werden.
Nutzer können über den Fingerabdruck ihres Browsers wiedererkannt werden. (Bild: TheDigitalWay)

1995 war das Web noch übersichtlich. Es gab zwei Browser, den Netscape und den Internet Explorer. Allerdings stellten beide die Inhalte der Webseiten unterschiedlich dar. Also begannen die Browser, ihren Namen zu übertragen, den HTTP User Agent, damit Webseitenbetreiber ihre Webseiten für den jeweiligen Browser optimieren konnten. Seitdem habe sich viel zwar geändert, erklärt Pierre Laperdrix, der am Helmholtz-Zentrum für Informationssicherheit (CISPA) zu sicheren Webapplikationen forscht. Doch schon damals sei der Grundstein für das heutige Browser-Fingerprinting gelegt worden. Das ist das Wiedererkennen des Browsers an verschiedenen übertragenen und ausgelesenen Informationen, die gemeinsam eine Art Fingerabdruck bilden. Die Technik wird von vielen großen Webseiten eingesetzt, es gibt allerdings auch Verteidigungsmöglichkeiten für Nutzer, die nicht wiedererkannt werden möchten.

Inhalt:
  1. Datenschutz: Browser-Fingerprinting gestern und heute
  2. Digitale Selbstverteidigung

Heute sind die Browser deutlich gesprächiger, neben Namen und Version werden Informationen über das Betriebssystem, die verwendete Hardware sowie die Schnittstellen des Browsers geliefert. Die Projekte Am I Unique? und Panopticlick der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) untersuchten die Vielfalt der Browser-Fingerprints. Bei beiden Projekten seien deutlich über 80 Prozent der Browser eindeutig wiederzuerkennen gewesen, sagt Laperdrix. Mehrere Studien hätten zudem gezeigt, dass "immer mehr Webseiten Fingerprinting-Scripts einsetzen". Neue Fingerprinting-Techniken würden von den Webseiten schnell integriert.

Canvas-Schnittstelle liefert viele Informationen

"Browser führen regelmäßig neue Schnittstellen ein", erklärt Laperdrix auf der Sicherheitskonferenz Ruhrsec. Diese enthalten oft Informationen, die zum Fingerprinting benutzt werden können. Besonders viele und individuelle Informationen liefert die Canvas-Schnittstelle, mit welcher sich Bilder im Browser zeichnen lassen, die anschließend analysiert werden können. Soll der Browser beispielsweise einen Text mit einem lachenden Emoji zeichnen, unterscheide sich allein das Emoji massiv zwischen unterschiedlichen Betriebssystemen und ihren Versionen, sagt der Forscher. Werden weitere Punkte des gezeichneten Textes analysiert, lässt sich ein Browser - und damit der Nutzer - mit sehr hoher Wahrscheinlichkeit wiedererkennen. Ähnliches sei auch mit der WebGL-Schnittstelle möglich, die zudem noch die verwendete Grafikkarte verrate.

Aktuell nutzen die Internetgrößen Google, Facebook und Amazon Browser-Fingerprinting. Aber auch unbekanntere Firmen wie Maxmind, Datadome, Threatmetrix und viele weitere verwenden die Technik. Allerdings könne man nur feststellen, dass Fingerprint-Informationen gesammelt würden. Ob diese zur Verfolgung, Betrugsbekämpfungen, für statistische Zwecke oder gar nicht zum Einsatz kommen, könne nicht gesagt werden, meint Laperdrix.

Stellenmarkt
  1. we.CONECT Global Leaders GmbH, Berlin-Kreuzberg,Berlin
  2. Gentherm GmbH, Odelzhausen

Neue gesetzliche Regelungen wie die Datenschutzgrundverordnung und die E-Privacy-Richtlinie wirken sich auf das Sammeln und Auswerten der Browserdaten aus. "Derzeit wird empfohlen, den Nutzer vor dem Sammeln eines Fingerprints zu fragen, dies ist jedoch nicht zwingend notwendig", sagt Laperdrix. Mit der Verabschiedung der E-Privacy-Richtlinie müsste wahrscheinlich um Erlaubnis gebeten werden. Ausgenommen hiervon seien allerdings First-Party-Server.

Doch neben gesetzlichen Regelungen gibt es auch verschiedene technische Methoden, mit denen sich Nutzer gegen Browser-Fingerprinting verteidigen können.

Digitale Selbstverteidigung 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. ab 369€ + Versand
  2. 349,00€
  3. 127,99€ (Bestpreis!)

hjp 22. Jun 2019 / Themenstart

"1995 war das Web noch übersichtlich. Es gab zwei Browser, den Netscape und den Internet...

hjp 22. Jun 2019 / Themenstart

Zum Teil stammen diese Informationen einfach noch aus einer Zeit, als mehr Vertrauen im...

IchBIN 20. Jun 2019 / Themenstart

Ja, und zumindest wenn der Browser das Do-Not-Track Flag mitschickt, sollte ein...

Kommentieren


Folgen Sie uns
       


Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test

Die Geforce RTX 2070 Super und die Geforce RTX 2060 Super sind Nvidias neue Grafikkarten für 530 Euro sowie 420 Euro. Beide haben 8 GByte Videospeicher und unterstützen Raytracing in Spielen.

Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test Video aufrufen
Mobilfunktarife fürs IoT: Die Dinge ins Internet bringen
Mobilfunktarife fürs IoT
Die Dinge ins Internet bringen

Kabellos per Mobilfunk bringt man smarte Geräte am leichtesten ins Internet der Dinge. Dafür haben deutsche Netzanbieter Angebote für Unternehmen wie auch für Privatkunden.
Von Jan Raehm

  1. Smart Lock Forscher hacken Türschlösser mit einfachen Mitteln
  2. Brickerbot 2.0 Neue Schadsoftware möchte IoT-Geräte zerstören
  3. Abus-Alarmanlage RFID-Schlüssel lassen sich klonen

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

    •  /