Abo
  • Services:
Anzeige
Beispielcode von Canvas Fingerprinting
Beispielcode von Canvas Fingerprinting (Bild: Valentin Vasilyev/Screenshot: Golem.de)

Hash-Wert aus Bildern

Anzeige

Aus diesen Daten wird ein Bild in einem HTML-Canvas-Element gemalt. Dabei werden dem Browser so wenige Vorgaben wie möglich gemacht, um die Zeichnungseigenschaften selbst nochmals als Merkmal zu integrieren. Der Inhalt des Canvas wird in eine Data-URL umgewandelt und offenbar als Hash-Wert genutzt. Dieser kann vom Javascript an bestehende URLs in der Webseite angehängt oder per Ajax an einen Server geschickt werden. Der Hash wird bei jedem Seitenaufruf neu generiert, in der Theorie bleibt er immer gleich, da die dazu verwendeten Informationen ebenfalls immer dieselben sind.

Das erzeugte Bild dient dabei lediglich als Mittel zur Bildung eines möglichst eindeutigen Hash-Wertes für den jeweiligen Browser. Da es eine Data-URL ist, ist es dem Empfänger des Hash-Wertes zwar möglich, diese Data-URL wieder in das eigentliche Bild umzuwandeln und über eine Texterkennung Daten auszulesen, in der Praxis wird das aber stark erschwert. Denn die Profildaten werden im Bild überlagernd geschrieben und die Bildgröße ist fixiert. Das Bild muss eine feste Größe aufweisen, um einen eindeutigen Hash-Wert von konstanter Länge zu bekommen.

Kaum Abwehrmöglichkeiten

Es gibt für Anwender kaum Möglichkeiten, sich gegen die Tracking-Methode zu wehren. Da es sich nicht um ein Cookie handelt, nützt es nichts, sie im Browser zu verbieten. Der Hash wird clientseitig ebenfalls nicht gespeichert, demnach funktioniert Canvas Fingerprinting auch im Inkognitomodus eines Browsers. Im Juni 2012 hat bereits das Tor-Projekt reagiert und eine entsprechende Funktion in das Browser-Bundle integriert, die Nutzer warnt, wenn eine Webseite versucht, ein Canvas Fingerprint zu erstellen. Darüber hinaus können Nutzer nur Noscript einsetzen oder Javascript komplett deaktivieren, um Canvas Fingerprinting zu verhindern. Da sich die Javascripts der verschiedenen Anbieter unterscheiden, lassen sie sich nur schwer gezielt unterbinden.

Fingerprinting muss transparent sein

Ligatus erklärte uns, das Canvas Fingerprinting habe nur "im Rahmen eines limitierten Testlaufs stattgefunden, der inzwischen beendet ist." Während des Testlaufs seien ausschließlich anonyme IDs ohne Rückschlussmöglichkeit auf konkrete User gesammelt und auch in keiner Weise die Privatsphäre von Anwendern verletzt worden. "Es gibt aktuell keine Pläne, diese Technologie bei uns einzusetzen, da sie keinen Vorteil für die von Ligatus eigenentwickelten Optimierungsalgorithmen bringt, die sich auf die generelle Erkennung von Mustern im Nutzungsverhalten stützen und nicht auf Cookies oder die Wiedererkennung konkreter User setzen", heißt es weiter.

Der Datenschützer Thilo Weichert sagte dazu: "Auf das Canvas-Fingerprinting ist nicht die Cookie-Regelung im europäischen Telekommunikationsdatenschutzgesetz anwendbar (Art. 5 Abs. 3), wohl aber § 15 Abs. 3 des Telemediengesetzes (TMG). Der Fingerprint ist im Prinzip ein Pseudonym. Auf Zweck und Widerspruchsmöglichkeit muss also hingewiesen werden. Wenn dies nicht passiert, ist das Angebot unzulässig."

Addthis stellt immerhin ein Opt-out-Cookie bereit.

 Privacy: Unsichtbares Tracking mit Bildern statt Cookies

eye home zur Startseite
stuempel 28. Jul 2014

Ich habe o.g. mal testweise installiert, siehe https://github.com/ghostwords/chameleon...

stuempel 28. Jul 2014

/// (Bitte löschen)

Anonymer Nutzer 28. Jul 2014

Ähm? ^^ Sag ich doch! Darum NoScript und schon führt man kein JS mehr aus :-) Genau...

GottZ 28. Jul 2014

es gibt auch noch den localstorage und flash cookies. eine schriftart über canvas zu...

Moe479 27. Jul 2014

ich sagen ihnen einfach im vorraus, dass sie ab datum x flash vergessen sollen, auch...



Anzeige

Stellenmarkt
  1. Rohde & Schwarz Cybersecurity GmbH, Leipzig
  2. über Hanseatisches Personalkontor Mannheim, Mannheim
  3. Fresenius Medical Care Deutschland GmbH, Bad Homburg
  4. Chemische Fabrik Budenheim KG, Budenheim


Anzeige
Top-Angebote
  1. 11,97€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  2. 299,00€
  3. 299,00€

Folgen Sie uns
       


  1. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  2. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  3. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  4. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  5. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  6. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  7. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  8. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  9. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  10. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: 1400W... für welche Hardware?

    Stefres | 20:07

  2. Re: wie hätte sich auch was verbessern sollen?

    Andre_af | 19:57

  3. Re: Unix, das Betriebssystem von Entwicklern, für...

    Dadie | 19:47

  4. Re: Marketing scheint bei Unity ein besonders...

    Squirrelchen | 19:46

  5. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Friedhelm | 19:41


  1. 18:10

  2. 10:10

  3. 09:59

  4. 09:00

  5. 18:58

  6. 18:20

  7. 17:59

  8. 17:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel