Browser Fingerprinting - Tracking ohne Spuren zu hinterlassen

Browser Fingerprinting – Wie sieht Ihr Internet-Fingerabdruck aus?

Bis zum 15. Dezember 2012 ist mein Projekt Browser Fingerprinting online. Im Rahmen meiner Diplomarbeit sammel ich Identifizierungsmerkmale von Computer- und Browserkonfigurationen, denn: jede und jeder im Internet hinterlässt bei einem Webseitenaufruf eine Art “Fingerabdruck”. Diese relativ neue Art der Identifizierung soll wissenschaftlich beleuchtet werden, um im Anschluss Schutzmaßnahmen entwickeln zu können.

Hinweis: Diplomarbeit ist online. Hier entlang!

Seit es das World Wide Web gibt, gibt es Bestrebungen von Webseitenbetreiber/innen (Content-Provider) ihre Besucher/innen zu identifizieren bzw. sie bei einem erneuten Besuch wiederzuerkennen. Auch für den/die Anwender/in ergeben sich Vorteile: falls er/sie von der Website erkannt wird, entfällt ein erneuter Login (z. B. bei sozialen Netzwerken). Kleine Textdokumente, die auf dem Computer des Besuchers bzw. der Besucherin abgelegt werden (sog. Cookies), erfüllen seit den 1990er Jahren diese Funktion. Doch dies ist nicht der einzige Einsatzzweck vom Cookies: Werbedienstanbieter verwenden Cookies, um dem/der Betrachter/in maßgeschneiderte Werbung anbieten zu können. Dabei wird bei dem ersten Aufruf einer Website, die ein von einem Dienstleister bereitgestellten Werbebanner enthält, ein Cookie mit einer eindeutigen Nummer hinterlegt. Besucht er/sie weitere Websites, die solch einen Banner enthalten, kann anhand dieser Nummer eine Chronik der besuchten Websites erstellt werden, da dieser Cookie jedes Mal übertragen wird und so die eindeutige Nummer ausgelesen werden kann. Nach einer gewissen Zeit kann somit ein relativ genaues Interessensprofil erstellt werden.

Doch was geschieht, wenn das Cookie gelöscht wird? In diesem Fall ist es nicht mehr möglich, die Person zu identifizieren und die Surfchronik muss komplett neu erstellt werden. Manche Nutzer/innen haben die Speicherung von Cookies generell deaktiviert, somit funktioniert der gesamte Ansatz nicht.

In diesen Fällen müssen neue, alternative Ansätze versucht werden. Dabei können einerseits sog. Super-Cookies verwendet oder es werden identifizierende Elemente der Systemkonfiguration des Nutzers bzw. der Nutzerin abgefragt und ausgelesen, gespeichert und verglichen.

So sendet jeder Webbrowser automatisch bei jedem Aufruf einer Website eine Kennung des verwendeten Browsers und dessen Version mit. Über alltägliche Web-Skriptsprachen, wie z. B. JavaScript, lassen sich die verwendeten Systemfarben (z. B. Desktop-Hintergrund) abfragen und Flash kann dazu verwendet werden, alle installierten Schriftarten aufzulisten. Diese Kombination der Daten ist u. U. auf der Welt einzigartig (weil er/sie einen hellrosa Hintergrund eingestellt hat und eine Disney- und Star-Wars-Schriftart installiert hat). Wenn jemand die Website also erneut mit genau dieser Konfiguration aufruft, ist mit hoher Wahrscheinlichkeit davon auszugehen, dass es sich um die gleiche Person handelt. Schriftarten und Systemfarben sind dabei nur ein Teil von Daten die ohne weiteres von jeder Website abgefragt werden können!

In meiner Diplomarbeit möchte ich dieses relativ neue und wissenschaftlich kaum bis gar nicht beleuchtete Thema genauer analysieren. Dazu habe ich eine Website erstellt, die möglichst viele Daten sammelt. Es geht dabei um die Fragestellungen: Wie verlässlich ist die Identifizierung über Konfigurationsmerkmale? Wie eindeutig sind bestimmte Konfigurationsmerkmale (welche haben eine höhere/niedrigere Signifikanz)? Daraus folgt die Frage: benötigt der/die Anwender/in einen Schutz und wenn ja, wie kann dieser aussehen?

Sie finden das Projekt hier. Ich würde mich freuen, wenn Sie daran teilnehmen und andere darauf aufmerksam machen. Das Projekt läuft bis zum 15.12.2012. Die gesamte Arbeit mit den ermittelten Daten wird im Anschluss auf dieser Seite öffentlich zugänglich sein (nach Open Science / Open Access Prinzipien). Mögliche identifizierende Merkmale (z. B. die Namen der Schriftarten) werden anonymisiert.

Vielen Dank für Ihre Unterstützung!

*) Fingerprint (image), CC-BY-SA Wilfredor, Wikipedia

30 Antworten
  1. Frank
    Frank says:

    Moin moin, würde aus Interesse gerne daran teilnehmen. Sehr gute Idee, das Ergebnis würde mich heute schon interessiern. Aber wie ist das mit Reinigungsprogrammen, z. B. CCleaner oder ähnliches. Löscht das Deinen Cookie dann? Sauberkeit muß sein ;)
    Gruß
    Frank Jung

    Antworten
  2. Frank
    Frank says:

    Update:
    Habe jetzt einfach mal teilgenommen. Ahoi. Kann allen ja nur Informationsgewinne bringen. Hoffe auf viele Teilnehmer und gutes gelingen.
    Gruß Frank

    Antworten
  3. mike
    mike says:

    sorry, nicht ganz neu: http://www.golem.de/1005/75176.html

    Auszug”Browser lassen sich anhand der von ihnen übermittelten Systemkomfiguration recht zuverlässig wiedererkennen, dies belegt die Untersuchung How Unique Is Your Web Browser? der EFF. Im Experiment mit 470.161 Nutzern wiesen 83,6 Prozent der verwendeten Browser einen eindeutigen Fingerabdruck auf. Weitere 5,3 Prozent kamen nur zweimal vor.”

    Antworten
    • henningtillmann
      henningtillmann says:

      Habe ich auch nicht behauptet :-). Dennoch gibt es Unterschiede:

      Folgendes hat die EFF auch untersucht:
      – Welche Konfigurationsmerkmale sind „wichtiger“ als andere? Hier ist aber zu erwähnen, dass die EFF weniger Merkmale betrachtet hat (z. B. keine Systemfarben)

      Dies hat die EFF nicht untersucht:
      – Durch die Speicherung eines Cookies kann ich, sollten die Cookies nicht gelöscht worden sein, feststellen, ob jemand die Seite tatsächlich erneut aufgerufen hat. Falls ja, interessiert mich das Delta, also die Veränderung am System. Funktioniert Fingerprinting somit genau, d.h. sind die Datensätze (abgesehen von dem Datum und der IP) identisch? Oder haben sich bestimmte Merkmale verändert. Wenn ja, welche ändern sich häufig? Kann man das Delta in seinen „Wiedererkennungs-Algorithmus“ einfließen lassen?
      – Ist ein „PNG-Cookie“ stabil und verlässlich?

      Außerdem werden alle Ergebnisse, Rohdaten, die Dipl-Arbeit an sich, der Quellcode, usw. veröffentlicht (unter CC-Lizenz bzw. für Quellcode ein Äquivalent).

      Antworten
  4. Nordlicht
    Nordlicht says:

    Moin!
    In Ihrer Umfrage steckt ein Fehler. Sie schreiben, daß sie unter anderem abfragen, “…ob Sie Java aktiviert haben”.
    Da die Umfrage aber nur mit EINGESCHALTETEM Java-Script überhaupt möglich ist, sollten Sie diesen Punkt noch mal überarbeiten oder dem, der Ihre Seite programmiert hat, mal informieren.
    Bei mir ist das übrigens in der Grundeinstellung aus. (bin mit “NoScript” unterwegs)
    MfG
    Nordlicht

    Antworten
    • henningtillmann
      henningtillmann says:

      Hallo Nordlicht,

      vorweg: Die Seite habe ich programmiert und niemand anders ;-). Und nein, es handelt sich um keinen Fehler, denn Java und JavaScript sind zwei verschiedene Sachen. JavaScript ist für die Verwendung der Seite notwendig, Java nicht. Mein Fingerprinting-Projekt fragt allerdings ab, ob Java (also Applets) vom Browser unterstützt werden.

      Antworten
  5. Ben
    Ben says:

    ich habs mal mit mehreren Browsern getestet – FF scheint das cookie nach dem neustart nicht mehr zu haben… Chrome, Opera, Safari und Yandex dagegen schon – seltsam …….

    zwei fragen hätte ich:
    erübrigt sich das fingerprinting nicht mit ipv6, wenn damit die ip nicht mehr geändert werden muss?
    kann man auf andere installierte software über die schriften schließen
    (photoshop etc.)?

    (unser web-dozent hat das zufälligerweise vor kurzem erwähnt)
    /student

    Antworten
    • henningtillmann
      henningtillmann says:

      1) Auch bei IPv6 werden die meisten Privatkunden mit dynamisch zugewiesener IP surfen. Es ändert sich also nicht viel (Privacy Extension vorausgesetzt)
      2) Man kann Vermutungen anstellen, da bestimmte Software auch manche Schriftarten installiert. Sicher kann man es natürlich nicht wissen.

      Antworten
  6. aljoscha
    aljoscha says:

    sehr interessantes Projekt! wäre sehr an den resultaten interessiert, wirst du die diplomarbeit auf deiner website veröffentlichen?!

    grüße

    Antworten
  7. .
    . says:

    Ich habe erst heute von Deiner Untersuchung erfahren. Mitmachen kann ich nicht mehr (hätte ich sonst gemacht), aber ich hätte gern die Ergebnisse erfahren, wenn Du dann fertig ist. Wie geht das?

    Ich wäre allerdings kein guter Mitmacher gewesen. Ich habe mir vor längerer Zeit angewöhnt, die Cookies immer wieder manuell zu löschen. Ohne Cookies zu surfen ist so wenig praktikabel wie ohne Javascript zu surfen. Daß mein Browser die Cookies beim Beenden löscht, hilft wenig, denn normalerweise geht der Rechner nur in den Ruhezustand und wird allenfalls alle paar Wochen mal richtig heruntergefahren. Entsprechend lang würden die Cookies leben.

    Ob mir das in irgendeiner Weise eine Anonymität im Netz gewährleistet? Keine Ahnung. Ich habe es mir so halt angewöhnt, also mache ich das. Eine Anonymität im Netz wäre ohnehin eher keine digitale (ja oder nein), sondern eher eine analoge Eigenschaft (Wieviel Mühe kostet es, einen Nutzer, der gern anonym bleiben möchte, dennoch zu ermitteln, und lohnt es sich, diese Mühe in den betreffenden Fall zu stecken?).

    Verblüffenderweise orientieren sich die meisten Firmen, bei denen ich das mitbekomme, an IP (wechselt beim Normal-Privatuser mindestens täglich) und Cookies und analysieren die Systeme nicht weiter, um einen Fingerabdruck zu gewinnen. Aber vielleicht kriege ich die echten Datensammler auch nur nicht mit. Den stets neugierigen Amerikanern traue ich das durchaus zu.

    Der langen Rede kurzer Sinn: Schreib die genannte Adresse bitte auf den Mailverteiler, damit ich die Ergebnisse Deiner Untersuchung mitbekomme. Danke!

    PS: “Du hast die datenschutzrechliche Bedingung nicht akzeptiert.”

    Nein, hatte ich nicht. Im Sinne der Transparenz fände ich es erfreulich, wenn Du bei der unten folgenden Erklärung einen erläuternden Satz dazuschreibst, etwa so:

    “Diese Seite hat (wie viele) unter Spam zu leiden und kommt ohne Filter leider nicht aus. Damit ich Deinen Kommentar annehme, MUSST Du der folgenden Erklärung zustimmen. Wenn Du das nicht willst, nehme ich Deinen Kommentar nicht an.” (Sinngemäß ähnlich wie bei Wikipedia)

    Antworten
  8. Daniel
    Daniel says:

    Moin,

    wollte mal fragen, ob mal mittlerweile mehr vom Projekt lesen und sehen kann. Mich interessieren die Auswertungen und auch wie der Code funktioniert hat.

    Beste Grüße

    Daniel

    Antworten
  9. Lisa
    Lisa says:

    Hallo,

    ist der Quellcode zum Projekt denn schon veröffentlich oder – falls nicht – wirst Du diesen im Zuge der Veröffentlichung deiner Arbeit bereitstellen?

    Antworten
  10. Danilo
    Danilo says:

    Sehr interessantes Projekt – gerade im Hinblick auf den aktuellen Datenschutz- und Ausspähskandal der USA.
    Mich interessieren die Auswertungen auch schon sehr – kann ja nicht mehr lange dauern ;-)

    Antworten
  11. Hagen Riether
    Hagen Riether says:

    Hi Henning,

    im Rahmen meiner Masterthesis schreibe ich über die verschieden Möglichkeiten des User-Trackings im Web, daher würde ich Deine Arbeit gerne zitieren. Ist diese schon online?

    MfG

    Hagen

    Antworten

Trackbacks & Pingbacks

  1. [...] Jan Dirk Roggenkamp hat auf dem IT-Gipfel einen Prozess mitausgelöst 15:45 Henning Tillmann kann anonyme User identifizieren 27:14 Mario Fuchs lebt für einen Monat in einer Asylunterkunft 38:13 Claudia Graneis muss [...]

  2. [...] Hab dich! Henning Tillmann kann anonyme User identifizieren [...]

  3. [...] Computer hinterlässt einen Fingerabdruck beim Aufruf einer Webseite. Wie einzigartig so ein “Browser Fingerprint” tatsächlich ist, untersucht Henning Tillmann in seiner Diplomarbeit noch bis zum 15. [...]

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>