Neue Tracking-Methode: Canvas Fingerprinting

hp

Blaues Schwein
Offenbar setzen viele Webseiten eine neue Tracking-Methode ein, die nur schwer verhindert werden kann. Dabei wird im Browser ein unsichtbares Bild erzeugt, das auf dem Server eine eindeutige Zuordnung des Besuchers erlaubt. (Nicht zu verwechseln mit Browser-Fingerprinting).
Mehr Infos hier
Hier kann man sehen bzw. suchen, welche Webseiten damit arbeiten: Klick
 

Krocket

Winterbader
Mein Browser läuft komplett in der Sandbox (Sandboxie).
Die wird nach jeder Sitzung geleert. Ich glaube nicht,
dass ich so einen Tracking-Kram in meinem System habe.

Krocket
 

DrSnuggles

Bekanntes Mitglied
@Krocket:

Dein Rechner erzeugt immer wieder das gleiche Bild, wenn er heute und morgen gefragt wird.
Wenn der Server jetzt das Bild heute und morgen sieht dann kann er annehmen, dass es der selbe Rechner war.
 

JoPa

Allround-Nichtsnutz
Wenn ich es richtig verstanden habe, wird der Tracking-Kram auf dem Rechner erzeugt. Ähnlich wie MS das mit XP-Serials und -aktivierung angefangen hat. Eine Kombination aus Hardware, Browser, OS, und wer weiss was noch.
Das wird auf dem Server gespeichert und jedesmal wenn du eine Seite, die diese Technik verwendet besuchst, wird dein Browser angewiesen den Schlüssel neu zu berechnen und an den Server zu schicken. Gleicher Schlüssel, gleicher Rechner/User.

Wundert mich, dass da nicht früher einer drauf gekommen ist...

edit: doc war wieder schneller...
 

Krocket

Winterbader
Danke für die Aufklärung, da war ich mal wieder zu naiv.
Wie kann man sich dagegen wehren ?

Krocket
 

hp

Blaues Schwein
Noscript, Ghostery o.ä. sind mal ein Anfang. Zumindest "Addthis" wird von Ghostery erkannt.
Anders sieht es aus, wenn der Code fest auf einer Webseite eingebaut, also kein 3rd-Party Plugin ist.
Noscript geht natürlich auch. Jedenfalls solange man keine Seite erlaubt, in der der Code fest eingebaut ist.
 
Zuletzt bearbeitet:

Juppes

Bekanntes Mitglied
Völlig alter Hut. Wird schon seit vielen Jahren eingesetzt. Wundert mich, dass es jetzt auf einmal hochkommt. Werden vor diesem Hintergrund irgendwelche Partikularinteressen verfolgt?
 

hp

Blaues Schwein
So viele Jahre kann das nicht unterwegs ein, wenn es 2012 das erste Mal erwähnt wird.
Auch die Reaktion einiger Unternehmen spricht dafür, dass ihnen das neu war.

Update: Die Telekom erklärte auf Anfrage: "Die Deutsche Telekom wusste nichts von der eingesetzten Methode auf t-online.de. Wir werden dem Sachverhalt nachgehen und diese nicht abgestimmte Form des Trackings unterbinden

http://www.spiegel.de/netzwelt/web/...-internetnutzung-nachverfolgbar-a-982280.html


Selbst Youporn (!) hat inzwischen darauf reagiert. ;)
Update: After this article was published, YouPorn contacted us to say it had removed AddThis technology from its website, saying that the website was "completely unaware that AddThis contained a tracking software that had the potential to jeopardize the privacy of our users." A spokeswoman for the German digital marketer Ligatus also said that is no longer running its test of canvas fingerprinting, and that it has no plans to use it in the future.

http://www.propublica.org/article/m...-device-that-is-virtually-impossible-to-block


P.S. Ich finde es übrigens zum Kotzen, wie sorglos Webmaster ihre Seiten inzwischen mit 3rd-Party Plugins vollkleistern und überhaupt nicht mehr wissen, was dieses Zeug mit den Besuchern überhaupt treibt.
 
Zuletzt bearbeitet:

Belzeboter

Zombie
Zum Thema "grobe Funktionsweise" ne grobe Frage: wenn das Bild im Browser zusammengstellt
wird, kann man dann nicht addthis.com in die hosts-Datei einbinden und es hat sich erledigt ?

Gut, wird nicht funktionieren, wenn das Bild auf der Webseite gebaut wird.....

Und da wir hier im Heimatland der Abmahnmafia sind - sonst gibts doch immer so ein
Getöse um die Rechte am eigenen Bild usw. - ist sowas nicht eine unendliche Geldquelle
für gelangweilte Anwälte ?? - das wäre doch mal ne gute Tat von diesem Pack *gg*


-Belzeboter-
 

Juppes

Bekanntes Mitglied
Ich hab schon 2008, als ich mich mit Retargeting und Affiliate Marketing beschäftigt habe, damit zu zu tun gehabt. Die Aussage von T-Online halte ich zum einen für eine Schutzbehauptung. Zum anderen, wie willst Du so ein Tracking unterbinden, das ist so gut wie unmöglich.
 

Belzeboter

Zombie
Ja deshalb ja auch die "grobe" Frage, es ist ja auch nicht bis ins Detail
beschrieben.....
Wenn die IPs der Adserver geblockt sind, dürfte doch zumindest das
erzeugte Bild nicht ankommen.

Aber gut, ganz so einfach wirds wohl nicht sein....


-Belzeboter-
 

Richard Wagner

Bekanntes Mitglied
Solltes es Dir möglich sein, uns eine kurze Zusammenfassung zu liefern, wäre ich Dir dankbar.

Die Artikel sind für Nichteingeweihte nur schwer zu verstehen und ich weiß auch nicht, ob wir das alles bis ins Detail verstehen müssen. Wir wollen es ja nicht nachbauen. Aber vielleicht kannst Du (oder jemand anderer) uns da etwas helfen.

Hilft es vielleicht ein wenig, unterschiedliche Browser (oder Profile) zu benutzen. Beispielsweise Profil 1 für einkaufen (Amazon und eBay), Profil 2 für Pornos, Profil 3 für Soziale Netzwerke, Profil 4 für den Rest? (Ich frage jetzt nicht, ob der Aufwand realistisch ist.)

Vielleicht könnte man auch ab und zu ein paar Plugins austauschen, solche, die man eh nicht braucht?
 

dr_tommi

alter Oldie
Ohne Javascript funktioniert die Demoseite schon mal nicht mehr. ;)
Aber eigentlich ist es ja egal, wie der Fingerabdruck ermittelt wird. Ob nun clientseitig per Javascript, serverseitig durch php/asp/py oder was auch immer. Die Eigenschaften, die der Browser über sich und das System übermittelt bieten eine Menge Angriffsfläche.
 

Richard Wagner

Bekanntes Mitglied
Den besten Schutz könnten dann die Browserhersteller bieten? Wenn sie nicht so viel Auskunft über das System geben würden! Ich frage mich schon lange, warum das alles so freizügig preisgegeben wird. Oder hat das wirklich einen unverzichtbaren Sinn?
 

dr_tommi

alter Oldie
Den besten Schutz könnten dann die Browserhersteller bieten? Wenn sie nicht so viel Auskunft über das System geben würden! Ich frage mich schon lange, warum das alles so freizügig preisgegeben wird.
Das frage ich mich auch.
Obwohl ja zumindest die Auswertung der Bildschirmauflösung bei der Darstellung der Webseiten hilfreich ist.

Oder hat das wirklich einen unverzichtbaren Sinn?
Teilweise schon, aber auf jeden Fall nicht die gesamte Palette.
 

spamwerbung

Bekanntes Mitglied
Bei den heutigen dynamischen Web 2.0 Webseiten ist es für den Webserver enorm wichtig zu wissen, was der anfragende Client/Browser kann, damit das auszuliefernde "Material" entsprechend aufbereitet werden kann. Webseiten wollen/müssen mit jedem anfragenden Client zurecht kommen und der Nutzer will sich nicht mit technischen Details usw. plagen, es soll nur alles auf magische Weise funktionieren. Das geht nur, wenn sich Client (der dem Server sagt, was er clientseitig alles kann) & Server (der die auszuliefernden Daten aufbereitet) entsprechend austauschen.
 

dr_tommi

alter Oldie
Bei den heutigen dynamischen Web 2.0 Webseiten ist es für den Webserver enorm wichtig zu wissen, was der anfragende Client/Browser kann
Wenn es nicht ständig den Wettbewerb geben würde "Wer hat den längsten" sondern ein Standard für alle definiert werden würde, könnten alle Browser auf allen Geräten alles gleich darstellen.
Da aber jeder besser/schneller/größer/bunter/anders als der andere sein will, liefert jeder Browser andere Werte und ist so per Canvas zu identifizieren.
 

hp

Blaues Schwein
Zum Thema "grobe Funktionsweise" ne grobe Frage: wenn das Bild im Browser zusammengstellt
wird, kann man dann nicht addthis.com in die hosts-Datei einbinden und es hat sich erledigt
Das funktioniert. Zumindest für 3rd-Party Plugins.
Aber wenn der Code schon auf der besuchten Webseite eingebaut ist, bist du auch wieder nass.

P.S. Hier kann man sich die Infos ansehen, die der Browser übermittelt (das wäre dann jetzt Browser-Fingerprinting)
https://panopticlick.eff.org

Ob der ganze Kram wirklich nötig ist?
 

Breakbit

Soul Manager
Your browser fingerprint appears to be unique among the 4,331,463 tested so far.
Eine Seuche.

Für das Canvas fingerprinting fällt mir nur ein: "Antivirenaddon" entwickeln, welches lokal auszuführenden Code auf verdächtiges Verhalten überprüft.
Aber wenn schon das Browser fingerprinting reicht sehe ich eh schwarz.
 

hp

Blaues Schwein
Ich habe mir gestern mal Random Agent Spoofer runtergeladen. Das Firefox-Plugin wechselt automatisch den User Agent, hat aber noch ein paar andere hübsche Features, wie z.B. das Deaktivieren der Canvas Geschichte. Wie es genau funktioniert, siehe hier.

Test hier: http://www.browserleaks.com/canvas

P.S. Die "advanced features" gibt es nur in der Version bei GitHub, nicht auf der offiziellen Mozilla Seite. (Einige Sachen verstossen wohl gegen die Richtlinien dort, weshalb es 2 Versionen gibt)
 
Zuletzt bearbeitet:

dr_tommi

alter Oldie
Found in DB: True, obwohl ich da noch nie war.
Aber jemand anders mit dieser Browser/OS-Kombination.
Da es in dem Beispiel nur um die Version des Browsers und das Betriebssystem geht, ist die Gesamtanzahl nicht so hoch und die Kombinationen werden öfter gefunden.
Wenn allerdings noch weitere Daten ausgewertet werden, dann wird es individueller.
 

bavariantommy

Universaldilletant
Entweder ich oder ihr habt da was falsch verstanden. Canvas-Fingerprinting beruht imho darauf, dass jeder Rechner ein Bild geringfügig anders rendert, was eine eindeutige ID ergibt. Das wiederum ist unabhängig davon, welche Browserkennung der Client übermittelt.

Heise schreibt dazu:

Canvas-Fingerprinting macht sich zunutze, dass sich, wenn man die Canvas-API moderner Browser nutzt, subtile Unterschiede beim Rendering desselben Textes ergeben.

http://www.heise.de/newsticker/meld...loeschbare-Cookie-Nachfolger-ein-2264381.html

Das Verändern/Faken des User-Agents hilft entsprechend genau nichts.
 

dr_tommi

alter Oldie
Pr1QXi0vWcy25Z9Z-Bereich.png


Die erzeugte Signatur wird mit den Browserdaten verglichen und am Ende wird wieder auf "User-Agents" heruntergebrochen.
 
Zuletzt bearbeitet:

hp

Blaues Schwein
Canvas-Fingerprinting beruht imho darauf, dass jeder Rechner ein Bild geringfügig anders rendert, was eine eindeutige ID ergibt. Das wiederum ist unabhängig davon, welche Browserkennung der Client übermittelt.

Einer der Gründe, warum das jeder Rechner anders macht, ist die verwendete Grafikkarte. Setzt man bei RAS die entsprechende Option, wird die Hardware-Acceleration ausgeschaltet.
 

bavariantommy

Universaldilletant
Einer der Gründe, warum das jeder Rechner anders macht, ist die verwendete Grafikkarte. Setzt man bei RAS die entsprechende Option, wird die Hardware-Acceleration ausgeschaltet.

Möchte man das wirklich?
Abgesehen davon gibts dann auch nur zwei Versionen Deiner ID. Eine mit und eine ohne Hardwarebeschleunigung...
 

hp

Blaues Schwein
Ich kann jedenfalls keinen Unterschied feststellen. Fragt sich, was die HW-Acceleration beim normalen Surfen (keine Spiele o.ä.) überhaupt zu tun kriegt.
Ausserdem betrachte ich im Moment eh alles mehr als Brainstorming und das ist sicher nicht die letzte Idee zu dem Thema.
 
Zuletzt bearbeitet:

spamwerbung

Bekanntes Mitglied
Fragt sich, was die HW-Acceleration beim normalen Surfen (keine Spiele o.ä.) überhaupt zu tun kriegt.

Mit einem halbwegs aktuellem PC bei Webseiten wie Facebook eigentlich gar nichts, bei Mobilgeräten ist das aber etwas anderes.

Die Hardwarebeschleunigung kommt nur bei Webseiten richtig zum Zug, welche halt viele dynamische Grafiken verwenden, die zur Laufzeit berechnet werden (z.B. Vektorgrafiken die stufenlos vergrößert/-kleinert werden können, je nach Zoom/Browserfenstergröße). Bei einem statischen PNG oder JPG Bild gibt es nicht mehr viel zum Beschleunigen.


Lasse mich aber auch gerne eines Besseren belehren, wenn ich daneben liege.
 

Bronco

Bekanntes Mitglied
Browser Erweiterung Disconnect Bin ich gerade am ausprobieren .
Info und Download https://disconnect.me/#
i
st Open Source und funktioniert meiner Ansicht nach gut.
Viele Webseiten werden wirklich erheblich schneller geladen.
mfg bronco
 

Bronco

Bekanntes Mitglied
Ich hab hier auch noch den IE dafür gibt es auch Disconnect .Der Browser wird erkannt einfach auf Get Disconnect klicken.Und die richtige Erweiterung wird heruntergeladen.

mfg bronco
 

F2B

Zwangsneurotiker
Komisch... Bei mir im Büro hat der FF zum Chrome Store weitergeladen.
Hier Daheim hat es gefunzt.
 

WereWOLF GANG

Bekanntes Mitglied
Das Thema wird jetzt überall heiß diskutiert:

http://www.zdnet.de/88199862/aggressive-methoden-zum-nutzer-tracking-auf-dem-vormarsch/
Als mögliche Gegenmaßnahmen diskutieren die Forscher von Princeton und Löwen in ihrem Bericht (PDF) Tools wie Ghostery, die einfach jeglichen Inhalt Dritter auf Webseiten blocken, sowie das Abschalten von Flash Cookies – was allerdings auch nur begrenzten Erfolg verspricht. Einige sogenannte Tracking-Vektoren lassen sich nämlich ihnen zufolge nicht oder nur mit Verlust wesentlicher Funktionen abschalten.

Ihrer Erfahrung nach ist der Tor-Browser der einzige, der erfolgreich vor Canvas Fingerprinting schützt: Er fragt jedesmal nach, ob das erlaubt, untersagt oder dieser Website für die Zukunft genehmigt werden soll. Gegen Third Party Cookies helfe das von der US-Bürgerrechtsorganisation EEF kürzlich bereitgestellte Privacy Badger.

Naja, der Tor-Browser ist natürlich eine aggressive Gegenmaßnahme. Ich beschränke mich im Augenblick darauf, neben Adblock Plus zusätzlich DisconnectMe und den Privacy Badger einzusetzen.
 
Zuletzt bearbeitet:

Grainger

Team (Mod)
Mitarbeiter
Und was ist nun der Vorteil von DisconnectMe gegenüber Ghostery?

Ich meine, man kann natürlich Addblock Plus, Ghostery und DisconnectMe installieren, aber ist nicht
a) Overkill und
b) kommen sich die Dinger irgendwie ins Gehege?

Macht ja auch nicht unbedingt Sinn, auf seinem PC mehrere Firewalls und diverse Virenscanner gleichzeitig zu installieren.

Edit:

ich wollte einfach mal ein paar Tests auf Panoptoclick machen.
Ich verwende FF in der neuesten Version. Addblock Plus habe ich während der Test deaktiviert.

Mein Plan war, die Addons jeweils einzeln bzw. in Kombinationen zu installieren/aktivieren und die Ergebnisse auf Panopticlick zu vergleichen.

Das kann man aber vergessen, da Panopticlick bei wiederholten Aufrufen mit absolut identischer Browserkonfiguration nicht mal annähernd gleiche Ergebnisse liefert, die Resultate schwanken ziemlich willkürlich in einer Bandbreite von ca. +/- 10%.

Ruft einfach mal Panopticlick auf, merkt euch das Resultat und drückt F5. Bei jedem erneuten Aufruf verschlechert sich das Ergebnis (teilweise erheblich). Zumindest bei mir ist das so.
 
Zuletzt bearbeitet:

Bronco

Bekanntes Mitglied
Panopticlick bei wiederholten Aufrufen mit absolut identischer und nicht identischer Browserkonfiguration.
Liefert bei mir fast immer die Gleichen (kaum Abweichungen) Werte Windows 7,Chrome
mfg Bronco
 

WereWOLF GANG

Bekanntes Mitglied
@Grainger: chip.de rät von Ghostery ab:

Ghostery gibt nur vor, sich dem Schutz der User vor Schnüffel-Attacken zu verschreiben. Denn gleichzeitig stellt der Hersteller seine Datenbank der Werbewirtschaft zur Verfügung. Wir raten deshalb vom Gebrauch des Add-ons ab. Stattdessen empfehlen wir NoScript, um die Tracker zu unterdrücken.

NoScript ist aber nicht nötig, wenn man das Trio Adblock Plus, Privacy Badger und DisconnectMe benutzt. Das ergänzt sich sehr gut.

http://lifehacker.com/the-best-browser-extensions-that-protect-your-privacy-479408034
 

Grainger

Team (Mod)
Mitarbeiter
Panopticlick bei wiederholten Aufrufen mit absolut identischer und nicht identischer Browserkonfiguration.
Liefert bei mir fast immer die Gleichen (kaum Abweichungen) Werte Windows 7,Chrome
mfg Bronco
Bei mir leider nicht.
Ich habe jetzt extra noch einmal den Browsercache geleert und das noch einmal probiert.
Mit jedem Aufruf ändern sich die Werte, meistens sinken sie um rund 10%, gelegentlich steigen sie aber auch wieder.

Die Seite ist daher (für mich) unbrauchbar.
 

hp

Blaues Schwein
@Grainger: chip.de rät von Ghostery ab:

Die Artikel von Chip, Heise, TR usw. sind diesbezüglich ziemlich schlampig (vermutlich schreibt sowieso nur der eine vom anderen ab). Es wird so getan, als würde Ghostery prinzipiell Daten übermitteln. Tatsächlich muss man dieser Funktion aber aktiv zustimmen und es steht auch oberdeutlich da, was sie macht.
Wer es noch genauer wissen will, siehe hier: https://purplebox.ghostery.com/post/1016023438

Anders wäre es, wenn man es umständlich deaktivieren müsste oder gar nicht könnte, aber hier ist für mich alles korrekt (Opt-in).
 
Zuletzt bearbeitet:

F2B

Zwangsneurotiker
NoScript ist aber nicht nötig, wenn man das Trio Adblock Plus, Privacy Badger und DisconnectMe benutzt. Das ergänzt sich sehr gut.

http://lifehacker.com/the-best-browser-extensions-that-protect-your-privacy-479408034

Wobei ich Adblock Plus mit Adblock Edge ersetzen würde.
Der Grund ist DIESER.
Zitat:
hinter Adblock Plus stehen offenbar finanzstarke “strategische Partner” aus der Werbeindustrie, die nun endlich ihre bisherigen Investitionen zu Geld machen wollen. Das erfolgreiche Add-on entpuppt sich damit schlagartig als perfide konzipiertes Hintertuerchen, das sich zudem als Erpressungswerkzeug fuer jeden Website-Betreiber einsetzen laesst.
 

Grainger

Team (Mod)
Mitarbeiter
By Ghostery gefällt mir, dass ich bei jeder Website in einem kleinen Popup-Fenster gezeigt bekomme, welche URLs geblockt wurden.
Bei DisconnectMe ist das sehr viel intransparenter gemacht.

Außerdem scheint Ghostery mehr zu blocken als DisconnectMe, zumindest behauptet Ghostery auf manchen Seiten erheblich mehr geblockt zu haben als DisconnectMe.

Welchem Programm soll ich jetzt glauben? :D
 

WereWOLF GANG

Bekanntes Mitglied
@Grainger:
Wenn du besonders viel Kommerzielles blocken willst, kannst du noch zusätzlich PeerBlock 1.2 nehmen. Wenn du da "Block Http" einschaltest, dann sind die ganzen bösen Firmen automatisch gesperrt.
Man muss dann nach und nach bestimmte Seiten freigeben, wenn man sie doch brauchen sollte. Gedacht ist PeerBlock ursprünglich, um Filesharer ein wenig zu schützen.

Mittlerweile dürfte der Nutzerkreis aber wieder zunehmen, denn bei statischen IPs funktioniert das ausgezeichnet.

Nachtrag: Ich hab den Privacy Badger wieder deinstalliert, weil er nach ein paar Tagen das Premiumize.me Addon blockiert...
 
Zuletzt bearbeitet:

WereWOLF GANG

Bekanntes Mitglied
Noch mal kurz zurück zum Thema, wie man sich schützen kann (hab mich lange damit beschäftigt):

1.) AdBlock plus (oder edge) + EasyPrivacy Filter!!! (das ist schon mal die halbe Miete!)

2.) entweder NoScript und viel herumprobieren oder lieber gleich:
nur eins von diesen Automatik-Tools: Ghostery, DoNotTrackMe, DisconnectMe (fett, weil keine Werbeagentur dahinter steckt)

3.) Privacy Badger (noch Beta, aber killt den Rest, ich hab's wieder drauf!)

4.) PeerBlock 1.2 (fertig konfigurierte Firewall, die alles Böse blockt, muss man sich ein bisschen damit beschäftigen, aber lohnt sich)

Zurücklehnen und Spaß haben... !
 
Zuletzt bearbeitet:
Oben Unten