Fingerabdruck

Jeder Internet-Browser sendet Daten an „das Internet“, das sind die Server hinter den besuchten Homepages.
Es werden nicht nur Daten vom Server zum Browser gesendet, sonder auch umgekehrt. Dieser Kommunikationsvorgang ist im sogenannten HTTP Protokoll spezifiziert und ermöglicht, dass sich die Seite an den Browser anpasst (z.B. die Bildschirmauflösung für das Smartphone oder den PC usw.).

Jedoch werden schon dabei die vom Internet-Browser gesendeten Daten bereites zur Identifizierung der Nutzer verwendet, das ist das sogenannte „Passive HTTP Tracking“.

Die wichtigsten Daten, die dabei vom Browser an die Server gesendet werden, sind:

User agent (“Namensschild des Browsers”)

Zum Beispiel die Zeile „Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0“. Darin stehen Angaben zum verwendeten Browser, zum Betriebssystem und verschiedene Versionsnummern.

  • accept formats, accept charset, accept encoding: Angaben zu den technischen Fähigkeiten des Browsers.
  • accept language: Die Sprachen, die im Browser eingestellt sind.
  • Referer: Die Homepage, die vor der aktuellen Seite besucht wurde, typischerweise die Suchmaschine.

Wie hilft die PrivacyMachine dagegen:
Beim starten einer neuen VM-Maske (Tab) wird der Referer gelöscht und möglichst viele Browsereinstellungen, wie z.B. die Sprache und die Bildschirmauflösung, geändert.

Cookies

Cookies sind kleine Textdateien die vom Server erzeugt und am lokalen Computer gespeichert werden. In diesen werden z.B. der Login-Status beim Onlinebanking oder der Inhalt des Warenkorbes in einem Onlineshop gespeichert. Für diese Funktionen braucht man Cookies, damit die Seiten richtig funktionieren. Jedoch werden Cookies dafür missbraucht, um das Surfverhalten der NutzerInnen zu protokollieren.

Wenn auf seite1.at ein Werbebanner von große-werbefirma.com angezeigt wird, speichert dieses Werbebanner ein sogenanntes Drittparteiencookie von große-werbefirma.com auf den Computer. Wenn dann im weiteren Verlauf auf seite2.at, seite3.at … wieder ein Werbebanner von große-werbefirma.com gezeigt wird, liest diese das Drittparteiencookie aus und erzeugt somit ein Profil des Surfverhaltens.

Mit diesem Benutzerprofil wird persönlich zugeschnittene Werbung eingeblendet, für die mehr Geld verlangt werden kann als für nicht-zielgerichtete Werbung, wie z.B. ein Werbeplakat.

Das gleiche Prinzip wird mittlerweile ohne Cookies mit dem Browser Fingerprint erreicht, sodass das Abschalten von Cookies alleine nicht weiterhilft.

Wie hilft die PrivacyMachine dagegen:
Drittparteiencookies können wahlweise abgeschaltet werden, und bei jedem Reset werden prinzipiell alle Cookies gelöscht.

JavaScript

JavaScript ermöglicht interaktive Homepages wie z. B. googlemaps.com, wo Verschieben des Ausschnitts mit der Maus im Browser funktioniert. Gleichzeitig werden bei aktiviertem JavaScript ein zusätzlicher UserAgent und weitere Angaben zum Betriebssystem übermittelt. Außerdem wird eine Liste von installierten Hilfsprogrammen, den sogenannten Plugins wie Flash oder AdobeReader gesendet und diese werden ggf. aktiviert. JavaScript ist mittlerweile leider notwendig geworden, weil bei ausgeschaltetem JavaScript die Seiten nur mehr teilweise oder überhaupt nicht mehr funktionieren.

Wie hilft die PrivacyMachine dagegen:
Pro VM-Maske werden verschiedene Plugins(Browsererweiterungen) an- und abgeschaltet. Auch die Liste der Schriftarten des virtuellen Betriebssystems, welche mittels Flash ausgelesen werden kann, wird geändert.

Plugins

Plugins sind Hilfsprogramme, die separat installiert werden (Installation erfolgt nicht aus dem Browser heraus). Beispiele sind das Office Plugin von Microsoft, Flash von Adobe oder Java von Oracle. Diese Programme ermöglichen das Bearbeiten oder Anzeigen von bestimmten Dateitypen direkt im Browser. Das Datenschutzproblem ist, dass die Liste der installierten Plugins und ihrer Versionsnummer sehr individuell ist.

screenshot der installierten firefox plugins

Außerdem können die Plugins bei Aktivität viele Details über das zugrundeliegende Betriebssystem übermitteln. Bei Flash werden die auf dem Computer installierten Schriftarten in einer eindeutigen Reihenfolge übermittelt, bei Java können auch Seriennummern von Bauteilen ausgelesen und übermittelt werden.

Wie hilft die PrivacyMachine dagegen:
Pro VM-Maske werden nur die Plugins aktiviert, die wirklich notwendig sind.

Flash Cookies und Local Shared Objects

Hierbei handelt es sich um verschiedene Möglichkeiten, lokal Einstellungen zu speichern. Alles wird dazu benutzt, um eindeutige Marker für die Nutzer zu erstellen, um sie beim Surfen wieder zuerkennen.

Wie hilft die PrivacyMachine dagegen:
Alle Änderungen auf der virtuellen Festplatte werden bei einem Reset gelöscht.

WebRTC

Mittels des Standard WebRTC können im Browser VoIP oder Videotelefonie (wie Skype) durchgeführt werden. Jedoch wird immer die lokale IP Adresse ins Internet gesendet, auch an Proxydiensten wie Tor oder JonDo vorbei.

Wie hilft die PrivacyMachine dagegen:
WebRTC ist nur aktiviert, wenn keine Proxydienste genutzt werden, und dies in der VM-Maske sinnvoll ist.

Cache-basierte Trackingmethoden

Es gibt einige weitere Möglichkeiten, lokal Informationen zu speichern. Z.B. können im Festplatten-Cache, einem für den Browser reservierten Speicherplatz, ganze Webseiten für den Offlinegebrauch abgelegt werden. Ebenfalls werden individuelle, unsichtbare 1-Pixel-große „Bilder“ benutzt oder Mechanismen wie HTTP-Authentication-Caches oder History-Sniffing.

Wie hilft die PrivacyMachine dagegen:
Alle Änderungen auf der virtuellen Festplatte werden beim Reset gelöscht.

Canvas Fingerprinting

Mit HTML5 ist die Canvas funktion zum Standard geworden. Diese ermöglicht es Bilder im Browser zu zeichnen. Hierbei werden Befehle direkt an die Grafikkarte weitergegeben. Da Grafikkarten auf perfomance ausgelegt sind werden Bilder von jeder Grafikkarte etwas anders gerendert. Durch das Auslesen eines so erzeugten Bildes lässt sich ein Fingerabdruck der Grafikkarte erstellen.

Wie hilft die PrivacyMachine dagegen:
Da kein direkter Hardwarezugriff möglich ist, sondern eine virtuelle Graphikkarte verwendet wird, fließen keine Harwaremerkmale in das erzeugte Bild ein.

Teste deinen Browserfingerprint