Hash-Wert aus Bildern

Aus diesen Daten wird ein Bild in einem HTML-Canvas-Element gemalt. Dabei werden dem Browser so wenige Vorgaben wie möglich gemacht, um die Zeichnungseigenschaften selbst nochmals als Merkmal zu integrieren. Der Inhalt des Canvas wird in eine Data-URL umgewandelt und offenbar als Hash-Wert genutzt. Dieser kann vom Javascript an bestehende URLs in der Webseite angehängt oder per Ajax an einen Server geschickt werden. Der Hash wird bei jedem Seitenaufruf neu generiert, in der Theorie bleibt er immer gleich, da die dazu verwendeten Informationen ebenfalls immer dieselben sind.

Stellenmarkt
  1. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w) am European Campus
    THD - Technische Hochschule Deggendorf, Pfarrkirchen
  2. Inhouse Berater SAP (m/w/d)
    über Hays AG, Giengen an der Brenz
Detailsuche

Das erzeugte Bild dient dabei lediglich als Mittel zur Bildung eines möglichst eindeutigen Hash-Wertes für den jeweiligen Browser. Da es eine Data-URL ist, ist es dem Empfänger des Hash-Wertes zwar möglich, diese Data-URL wieder in das eigentliche Bild umzuwandeln und über eine Texterkennung Daten auszulesen, in der Praxis wird das aber stark erschwert. Denn die Profildaten werden im Bild überlagernd geschrieben und die Bildgröße ist fixiert. Das Bild muss eine feste Größe aufweisen, um einen eindeutigen Hash-Wert von konstanter Länge zu bekommen.

Kaum Abwehrmöglichkeiten

Es gibt für Anwender kaum Möglichkeiten, sich gegen die Tracking-Methode zu wehren. Da es sich nicht um ein Cookie handelt, nützt es nichts, sie im Browser zu verbieten. Der Hash wird clientseitig ebenfalls nicht gespeichert, demnach funktioniert Canvas Fingerprinting auch im Inkognitomodus eines Browsers. Im Juni 2012 hat bereits das Tor-Projekt reagiert und eine entsprechende Funktion in das Browser-Bundle integriert, die Nutzer warnt, wenn eine Webseite versucht, ein Canvas Fingerprint zu erstellen. Darüber hinaus können Nutzer nur Noscript einsetzen oder Javascript komplett deaktivieren, um Canvas Fingerprinting zu verhindern. Da sich die Javascripts der verschiedenen Anbieter unterscheiden, lassen sie sich nur schwer gezielt unterbinden.

Fingerprinting muss transparent sein

Ligatus erklärte uns, das Canvas Fingerprinting habe nur "im Rahmen eines limitierten Testlaufs stattgefunden, der inzwischen beendet ist." Während des Testlaufs seien ausschließlich anonyme IDs ohne Rückschlussmöglichkeit auf konkrete User gesammelt und auch in keiner Weise die Privatsphäre von Anwendern verletzt worden. "Es gibt aktuell keine Pläne, diese Technologie bei uns einzusetzen, da sie keinen Vorteil für die von Ligatus eigenentwickelten Optimierungsalgorithmen bringt, die sich auf die generelle Erkennung von Mustern im Nutzungsverhalten stützen und nicht auf Cookies oder die Wiedererkennung konkreter User setzen", heißt es weiter.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
Weitere IT-Trainings

Der Datenschützer Thilo Weichert sagte dazu: "Auf das Canvas-Fingerprinting ist nicht die Cookie-Regelung im europäischen Telekommunikationsdatenschutzgesetz anwendbar (Art. 5 Abs. 3), wohl aber § 15 Abs. 3 des Telemediengesetzes (TMG). Der Fingerprint ist im Prinzip ein Pseudonym. Auf Zweck und Widerspruchsmöglichkeit muss also hingewiesen werden. Wenn dies nicht passiert, ist das Angebot unzulässig."

Addthis stellt immerhin ein Opt-out-Cookie bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Privacy: Unsichtbares Tracking mit Bildern statt Cookies
  1.  
  2. 1
  3. 2


stuempel 28. Jul 2014

Ich habe o.g. mal testweise installiert, siehe https://github.com/ghostwords/chameleon...

stuempel 28. Jul 2014

/// (Bitte löschen)

Anonymer Nutzer 28. Jul 2014

Ähm? ^^ Sag ich doch! Darum NoScript und schon führt man kein JS mehr aus :-) Genau...

GottZ 28. Jul 2014

es gibt auch noch den localstorage und flash cookies. eine schriftart über canvas zu...

Moe479 27. Jul 2014

ich sagen ihnen einfach im vorraus, dass sie ab datum x flash vergessen sollen, auch...



Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /