Bei Themen wie Tracking im Internet geht oder De-Anonymisierung wird oft auf die individuellen Informationen, die ein Browser so mitteilt verwiesen. Vielen dürfte der der User-Agent ein Begriff sein, aber wie Informationen sind weit zahlreicher. Es gibt eine Reihe von Webseiten, die diese Informationen visualisieren und einem dabei helfen können den individuellen Fingerabdruck seines Browsers einzuschätzen.
Der Fingerabdruck am Beispiel IP-Check
IP-Check ist eine Informationsseite der Entwickler von JonDonym, die ebenfalls umfangreiche Softwarelösungen wie Anonymisierung anbieten. Nach einem Klick auf „Test starten“ sieht man zahlreiche Informationen seines Browsers. In der Regel ist da viel rot markiert.
Im oberen Bereich befinden sich die klassischen Informationen User-Agent, Sprache, Kodierung und Do-Not-Track Einstellung. Deutlich relevanter ist der zweite Abschnitt. Die enthält Informationen, die viele Anwender bisher nicht beachten oder gar wussten, dass der Browser sie überträgt. Dazu gehören der Tabverlauf, die Dimension des Browserfensters, sowie des inneren Browserfensters, sowie die Monitorauflösung und weitere Informationen wie verfügbare Schriftarten. Alles zusammen genommen ergibt einen nahezu perfekten Fingerabdruck.
Schützen kann man sich hier sehr gut mit Tor, (siehe: Anonymität im Internet mit TOR) wie der folgende Vergleich zeigt. Oben ist das Testergebnis mit einem normalen Safari auf macOS, unten mit dem Tor Browser Bundle.
Der Test zeigt auch sehr gut, dass man die Ergebnisse interpretieren muss. Im Gegensatz zu den JonDo-Empfehlungen erlaubt der Tor Browser JavaScript. Dahinter stehen Nutzbarkeitserwägungen aber auch handfeste Abwägungsentscheidungen:
[…]But there’s a third issue: websites can easily determine whether you have allowed JavaScript for them, and if you disable JavaScript by default but then allow a few websites to run scripts (the way most people use NoScript), then your choice of whitelisted websites acts as a sort of cookie that makes you recognizable (and distinguishable), thus harming your anonymity.
Quelle:Tor Project – FAQ
Hier zeigt sich die Komplexität des Themas. Einen Baustein zu deaktivieren um sicherer unterwegs zu sein, kann im Bereich Tracking das genaue Gegenteil bewirken. Die Abwehrstrategie gegen Tracking beruht nämlich auf dem Prinzip des Verschwindens in der Masse. Simpel gesagt: Hat die Masse JavaScript, sollte man es auch haben.
Wer will schon einzigartig sein?
Diesem Problem widmet sich das einfacher gehaltene Am I unique? Während Individualität im Alltag durchaus geschätzt wird, ist sie im Internet ein Fluch. Je einzigartiger der Fußabdruck, desto leichter lässt man sich über Browsersessions hinweg verfolgen – auch ohne Cookies und DomStorage.
Auch hier sieht man wieder das die übertragenen Parameter einen ziemlich leicht eingrenzen lassen. Mit Tor sieht das ganze deutlich anders aus und illustriert auch wie der Tor Browser versucht die Masse zu imitieren.
Tracker
Beide Beispiele zeigen, dass man besser mit dem Tor Browser Bundle unterwegs ist. Das ist natürlich nicht immer möglich oder ratsam, z.B. wenn man eindeutig der eigenen Identität zugeordnete Aktivitäten unternimmt.
Trotzdem sollte man sich vor Trackern schützen. Das Ausmaß in dem normale Webseiten ihre Benutzer tracken ist nämlich zur Zeit geradezu krank. Würde eine solche Überwachung außerhalb des Internets stattfinden, wäre das bereits ein handfester Skandal, hier wird das hingegen mehr oder minder hingenommen. Mittels Webbkoll kann man Webseiten auf Tracker untersuchen.
Wie anfällig der eigene Browser gegen Tracking ist kann man bei Panopticlick testen. Dabei handelt es sich um ein Projekt der Electronic Frontier Foundation. Hier sollten die drei oberen Kategorien grüne Haken haben. Den individuellen Fingerabdruck kann man bei einem normalen Browser nicht vermeiden.