Neue Tracking-Methode: Canvas Fingerprinting

Ripley

Aktives Mitglied
In diesem Fall muß man unterscheiden zwischen Plugins und Addons. Die Auflistung navigator.plugins zeigt nur Plugins an, welche für die Darstellung von Internet-Inhalten verwendet werden können, z.B. Flash, Java, QuickTime, Silverlight ... Daher wird diese Auflistung auch Webseitenbetreibern zur Verfügung gestellt. Addons werden hier nicht aufgelistet. Dennoch kann diese Auflistung als Teil der Browser-Identifikation mißbraucht werden.
 

nobo

Trödel
Aus den Changelog von Pale Moon :

Fixes/changes:
  • Canvas anti-fingerprinting option: Pale Moon now includes the option to make canvas fingerprinting much more difficult. By setting the about:config preference canvas.poisondata to true, any data read back from canvas surfaces will be "poisoned" with humanly-imperceptible data changes. By default this is off, because it has a large performance impact on the routines reading this data.
    .....
    Quelle : http://www.palemoon.org/releasenotes.shtml
 

DetLife

Bekanntes Mitglied
Ist übrigens alles kein Problem, wenn man Javascript ausschaltet. Das ist praktisch die Tracking-Funktion schlechthin.

Ach warte, das geht ja im Firefox schon lange nicht mehr. :icon_lol:
 

hp

Blaues Schwein
Viele Seiten funktionieren halt ohne Javascript nicht. Also muss man es zulassen, wenn man die Seite nutzen will und dann ist man so nass wie vorher.
 

CoWanderer

Bekanntes Mitglied
es gibt ja nicht nur ent oder weder. Man kann JavaScript selektiv zulassen und nur die Tracking-Scripte blocken ... "NoScript" oder "Ghostery" - bin ja nicht der erste, der darauf hinweisst.
 

hp

Blaues Schwein
es gibt ja nicht nur ent oder weder. Man kann JavaScript selektiv zulassen und nur die Tracking-Scripte blocken ... "NoScript" oder "Ghostery" - bin ja nicht der erste, der darauf hinweisst.

Ich schrieb schon vor einem Jahr:

Noscript, Ghostery o.ä. sind mal ein Anfang. Zumindest "Addthis" wird von Ghostery erkannt.
Anders sieht es aus, wenn der Code fest auf einer Webseite eingebaut, also kein 3rd-Party Plugin ist.


Siehe auch:


Wie blockt man dort das Fingerprinting Script, wenn man gleichzeitig JS zulassen möchte?
 

Grainger

Team (Mod)
Mitarbeiter
Übrigens ist der Privacy Badger jetzt in der Version 1.0 erschienen, …
Scheint aber (zumindest bei mir) noch nicht so richtig zu funktionieren.
Wenn ich das Icon in FF anklicke erscheint zwar das entsprechende Window mit der Meldung "Loading…", aber keiner der Buttons ruft beim anklicken irgendeine Wirkung hervor (und die Meldung "Loading…" bleibt ewig stehen).

Habe versuchsweise schon mal meine Firewall deaktiviert und Privacy Badger deinstalliert und neu installiert, bewirkt aber keine Änderung.

Und die Homepage von Privacy Badger ist absolut uninformativ, irgendein Forum haben die offensichtlich auch nicht.
 

GiveThatLink

Bekanntes Mitglied
Und welchen Sinn hat das jetzt, den bei github statt AMO zu laden?
Die Ausgabe bei github sind nicht signiert und Firefox 43 nimmt das deshalb nicht an, der Zug ist endgültig abgefahren.
Den Zusammenhang zu Canvas müsstest du mir auch nochmal erklären.

Ich bin mir auch nicht sicher, ob der gelobte CanvasBlocker so vorteilhaft ist. Ohne bin ich einer unter 700, mit einmalig, zusammen mit meinen anderen Daten, weiss nicht.

Privacy Badger arbeitet auf einer Art Heuristik, mehr weiss ich aber auch nicht. Ich nutze schon sehr lange uBlock Origin, inzwischen kann das auch vorgeschaltete Werbevideo ausmerzen. Und passend dazu hat sich jetzt Decentraleyes dazubequemt. Wer noch mehr und genauer filter will, sollte sich uMatrix anschauen. Die u-Reihe ersetzt ganz locker gut ein Dutzend sonstige Erweiterungen. Für diese Arbeit und Aufwand bin ich dann aber auch bereit, entsprechend zu spenden.

edit:

denn sie wissen nicht, was sie tun
xpinstall.signatures.required auf false.
Funktioniert aber nur via about:config, nicht per user.js, und soll mit v44 endgültig rausfallen
 
Zuletzt bearbeitet:

silverrider

Zertifizierter Kunstbanause by Eumel_1
Moin,
hab jetzt nicht alles gelesen, möchte aber zum Thema des Fingerprinting mal den Artikel über die Anonymitätsbetrachtung bei Tor im selben Zusammenhang posten:

http://www.heise.de/security/meldun...-Fingerprinting-Angriffe-auf-Tor-3043435.html

Beim Torbrowser ist mir eh aufgefallen, dass er sehr auf das setzen von Canvas aufpasst, weil er aktiv davor warnt!
hab mich eh gewundert, dass z.B. der Firefox diese Tor-Browser Integration noch nicht besitzt.
Das Tor Projekt ist da wohl schon weiter als die Mozilla Foundation.

Ich wollte vor einem Jahr just 4 fun mit dem Tor-Browser einen Twitteraccount anlegen, was mir auch gelungen ist. Beim hochladen eines imaginären Avatar warnte mich dann aber der Tor-Browser, dass Twitter einen Canvas setzten will und hat imgrunde keine den vorgang abgebrochen, weil eine Freigabe nicht möglich war.
Also Tor-Browser und bei Twitter ein Bild hochladen unmöglich, weil der Browser das setzen von Canvas verhindert.
Das klarer Fingerprinting ist aus meiner Sicht auch eine Seuche, weil mir dann VPNs oder sonstige Dinge nicht weiterhelfen, weil eine klare bestimmung des Rechners über das Fingerprinting möglich ist.
Asu meiner Sicht wird das Thema zu sehr verharmlost, weil es ein Angriff auf dei Anonymität des Nutzers ist. Mag sein, dass ich das zu extrem sehe, ich hasse jedenfalls diese Funktion.

greetings silverrider
 
Zuletzt bearbeitet:

GiveThatLink

Bekanntes Mitglied
Mozilla hat wohl den Gedanken zu TOR wieder fallen lassen, jedenfalls ist es seit 2014 recht still darum geworden:
http://www.zeit.de/digital/internet/2014-10/tor-integration-browser-firefox
http://www.heise.de/newsticker/meldung/Mozilla-baut-Kapazitaet-von-Tor-Netzwerk-aus-2531486.html

Laut Artikel ist die Initiative aber wohl von TOR ausgegangen, nicht von Mozilla. Inzwischen schreiben die sehr tief und viel im Code von Firefox um, egal ob das dokumentiert ist oder nicht. Und bei aller Liebe, per Tor was an Facebook, Twitter und co senden ist irgendwie sinnfrei. Dann wird noch Firefox 38 ESR benutzt, für die Pflege einfach, für Änderungen in Firefox nicht gut. Es ist nicht alles schlecht, was danach kam. Und du hast selbst verlinkt, dass Tor-Nutzer im Fokus stehen, nicht nur auf diese Art. Wenn die meinen, die wollen dich an den Hammelbeinen kriegen, können die das auch.
 

caribe

Bekanntes Mitglied
Canvas-Fingerprinting: Was ist das und wie funktioniert es?

Was nun genau verbirgt sich überhaupt dahinter? Canvas bedeutet übersetzt zunächst Leinwand oder
Gemälde, in HTML versteht man darunter ein Bild, das per JavaScript erstellt wird – und zwar aus
Farbverläufen, Zeichnungen, Grafiken sowie aus Text. Canvas wird unter anderem für animierte Grafiken
verwendet, ist Teil des HTML5-Standards und wird von allen aktuellen Browsern unterstützt.

So weit, so gut. Dass sich Canvas-Elemente zum Identifizieren und damit zum Tracken eignen, liegt daran,
dass die damit erzeugten Grafiken auf verschiedenen Rechnern und mit verschiedenen Browsern nicht
absolut identisch sind. Diesen Effekt haben zwei Wissenschaftler schon vor gut zwei Jahren entdeckt .
Was mit dem bloßen Auge nicht zu erkennen ist, weil die Abweichungen eben nur minimal sind, offenbart
der Quelltext der Bilder: Sie unterscheiden sich, und zwar systemspezifisch. Ein Rechner mit einem
bestimmten Browser erzeugt eine individuelle Grafik, die sich in eine spezifische Daten-URL bzw. einen
spezifischen Hash-Wert umwandeln lässt. Zahlreiche Beispiele im Internet zeigen, wie Canvas-Elemente
einen spezifischen Fingerprint bzw. Hash-Wert erzeugen, so z.B. das amerikanische Journalistennetzwerk
Pro Publica . Probieren Sie es einfach einmal aus und klicken Sie mehrfach auf dem gleichen PC und mit
demselben Browser auf das „Browser Fingerprint“-Element. Die angezeigte ID ist stets exakt die gleiche.
Es sei denn, Sie wechseln den Rechner oder auch nur den Browser! Gleicher PC, aber unterschiedliche
Browser: Google Chrome (links) liefert für die gleiche eingebettete Canvas-Grafik eine völlig andere ID
als der Firefox-Browser (rechts). Vergrößern Gleicher PC, aber unterschiedliche Browser: Google Chrome
(links) liefert für die gleiche eingebettete Canvas-Grafik eine völlig andere ID als der Firefox-Browser
(rechts).


3452115_620x310.md.jpg


Normalerweise bekommt man von alledem nichts mit, denn die Prozesse laufen automatisch ab und die Bilder
sind versteckt und somit nicht sichtbar. Da sich ID oder Hashwert einer Canvas-Grafik z.B. regelmäßig an
einen Server schicken lassen, identifiziert dasselbe Element auf einer anderen Webseite den Anwender
bzw. seinen PC eindeutig: In größerem Stil eingesetzt lässt sich so das Surfverhalten aufzeichnen und
damit gezielt Werbung schalten.

Quelle und gesamter Text:
http://www.pcwelt.de/ratgeber/Cookies_2.0__Tracking_per_Canvas-Fingerprint-Internet-8938465.html


Test:
https://www.browserleaks.com/canvas
 

Angelika

Bekanntes Mitglied
Gibt es mittlerweile eine Lösung, ein funktionierendes FireFox Addons etc, außer JavaScript zu deaktivieren?
 
Zuletzt bearbeitet:

silverrider

Zertifizierter Kunstbanause by Eumel_1
und kleiner Tip. ich habe beim Canvasblocker unter Addons den Haken bei show notification rausgenommen, weil die Leiste benötige ich in der Regel eh nicht, er macht seinen Job trotz allem und
die Leiste nervt ansonsten nur.

greetings silverrider
 

Hellfire

Team (Mod)
Mitarbeiter
Hallo,

wir haben ja hier das Tracking hin und her diskutiert und Abwehrmöglichkeiten gesucht, aber das hier scheint eine neue Qualität zu sein: Es ist wohl mittlerweile möglich, Nutzer über Browsergrenzen hinweg zu tracken. Das ist auch meine Strategie, für die Social Media Seiten wie Facebook einen eigenen Browser nutzen und für das reguläre Surfen halt einen anderen.

Researchers have recently developed the first reliable technique for websites to track visitors even when they use two or more different browsers. This shatters a key defense against sites that identify visitors based on the digital fingerprint their browsers leave behind. [...]

Until now, however, the tracking has been limited to a single browser. This constraint made it infeasible to tie, say, the fingerprint left behind by a Firefox browser to the fingerprint from a Chrome or Edge installation running on the same machine. The new technique—outlined in a research paper titled (Cross-)Browser Fingerprinting via OS and Hardware Level Features—not only works across multiple browsers, it's also more accurate than previous single-browser fingerprinting.
 

the gun

Nowhere Man
Wenn das aber über zwei und mehr Browser möglich ist, müsstest du dann nicht eher verschiedene VM's nehmen?
 

Hellfire

Team (Mod)
Mitarbeiter
Hallo,

bisher war es wohl nicht möglich. Und wenn ich das richtig verstehe, ist dies noch experimentell, was sich aber schnell ändern kann.
 

dr_tommi

alter Oldie
Verschiedene VMs mit unterschiedlichen Betriebssystemen, jeweils unterschiedlicher virtueller Hardware, verschiedene Grafikauflösungen und dann noch verschiedene Browser nur um der Werbeindustrie zu entgehen halte ich dann doch für etwas übertrieben. ;)
 

silverrider

Zertifizierter Kunstbanause by Eumel_1
Hallo,

ich poste mal den neuesten Bums in Sachen Tracking hier in diesem Thread. Ich denke, es ist gut, wenn wir eine zentrale Sammelstelle für den Kram haben.
Semper Video hat zu Floc vor Tagen auch ein schönes Video gemacht, schöne neue Welt 🥴

Edit: Auch mal wieder ein gutes Beispiel, dass in der heutigen Zeit bei den Playern im Markt, eine Browser-Monokultur auch ungesund werden kann.
 
Zuletzt bearbeitet:

GiveThatLink

Bekanntes Mitglied
uBlock, Adguard und die DDG Privacy Erweiterung können FLoC schon filtern, AdBlock Plus sollte inzwischen auch so weit sein. Von daher muss man nicht wirklich über Maßnahmen nachdenken. Und in Chromium kann man FLoC per (Start-)Schalter deaktivieren.
 

GiveThatLink

Bekanntes Mitglied
Brave und Vivaldi wollen den Code nicht übernehmen, Apple mit Safari und Mozilla mit Firefox auch nicht.
that harms user privacy
Stimmt so nicht komplett, aber es klingt halt besser.
It relies on some hidden settings that are not enabled in Vivaldi.
Das ist der besagte Schalter beim Start. Demnach haben sie den Code nicht genullt, sondern nur den Schalter dafür umgelegt.

--disable-blink-features=InterestCohortAPI

bzw

--disable-features="FederatedLearningOfCohorts:update_interval/10s/minimum_history_domain_size_required/1,FlocIdSortingLshBasedComputation,InterestCohortFeaturePolicy"

amifloced.org
floc.glitch.me
 

ultimate

Alle wollen alt werden. Keiner will alt sein.
Nach dem Motto "alle denken an sich, nur ich denke an mich" ...


Apple-Softwarechef: "Nutzer verdienen Kontrolle über ihre Daten"

Es ist eine zentrale neue Funktion auf dem iPhone: Seit iOS 14.5 soll das iPhone Nutzer warnen, sobald eine App versucht, die Tracking-ID der Geräte abzufragen, um sie dann systemübergreifend zu Reklamezwecken beobachten zu können. Apple nennt den Ansatz "App Tracking Transparency" (ATT) – Transparenz für das Tracking per App.


Einem Bericht der »Financial Times« zufolge will Apple die Werbung im App Store zeitgleich mit der Einführung der verschärften Tracking-Regeln ausbauen. Bisher tauchen Anzeigen für Apps nur bei Suchanfragen ganz oben in der Liste auf. Wenn man etwa »Pizza« eingibt, erscheint an erster Stelle die bezahlte Anzeige eines Lieferdienstes. Dem Bericht zufolge sollen bezahlte Banner Apps künftig auch unabhängig von Schlagwörtern bewerben können.
 

Hellfire

Team (Mod)
Mitarbeiter
Hallo,

@ultimate das ist sehr interessant und, wenn ich das richtig verstehe, zweischneidig. Eigentlich will Apple da eine Kontrolle haben, was der User zu Gesicht bekommt. Ich kann etwa auf meinem iPad keinen Werbefilter als Browsererweiterung installieren, egal welcher Browser. Souveränität sieht anders aus.
 

ultimate

Alle wollen alt werden. Keiner will alt sein.
Das wird auch kein Altruismus sein @Hellfire
Apple holt aus seinem Store raus, was geht.
Und wenn gerade der Werbemarkt im Umbruch ist (Google hat vor kurzem damit begonnen),
da will Apple den Weg wo es hingehen soll mitbestimmen.
Alles natürlich "im Sinne des Datenschutzes" bzw. "zur Verbesserung des Benutzererlebnisses".

Da werden gerade die Karten des Werbemarktes neu gemischt und es bleiben mit Sicherheit
einige kleine Werbetreibende auf der Strecke.
Der Anwender kann nur mit offenem Mund daneben stehen und entweder auf Tools hoffen
die ihm ein wenig Privatsphere erhalten oder einfach die Haltung einnehmen
"Ist mir egal. Ich habe nicht zu verbergen".
 
Oben Unten