Browser Fingerprinting: Warum Cookies deaktivieren nicht reicht

Henning Tillmann hat in seiner Diplomarbeit untersucht, inwiefern Benutzer über ihren Browser Fingerprint (spezifische Merkmale der Systemkonfiguration) bestimmbar sind (wir berichteten). Die Arbeit ist jetzt fertig und in seinem Blog verlinkt (das direkt verlinken lassen wir hier erstmal, der Server macht schon genug mit), dankenswerter Weise auch noch frei lizensiert (CC-BY-SA), und auf die Rohdaten darf man auch zugreifen.

Das Hauptergebnis: Von mehr als 23.000 gesammelten Fingerprints waren rund 93% einzigartig:

Im November und Dezember 2012 sammelte ich über mein Projekt Browser Fingerprinting 23.709 digitale Fingerabdrücke. Die Website ermittelte im Hintergrund – natürlich mit Zustimmung der Nutzer – Informationen über den verwendeten Browser, das genutzte Betriebssystem, Systemfarben, installierte Schriftarten und Plugins, u. v. m. In einer anschließenden Analyse konnte ich zeigen, dass nach einer technisch notwendigen Bereinigung knapp 93% der digitalen Fingerabdrücke in dem Untersuchungszeitraum einzigartig waren.


Strategien gegen Browser Fingerprinting hat übrigens neulich Rene Meissner zusammengestellt. Sein Ergebis:

Die effektivste Methode ist eine Kombination aus dem Löschen von Cache und Cookies, der Verwendung eines verbreiteten User Agent Strings und dem Deaktivieren von JavaScript und PlugIns. Für Sites, die eine solche Funktion erzwingen, verwendet man am besten einen separaten Browser. Ausschalten sollte man auch die Wiederherstellung der alten Tabs. Idealerweise schliesst man auch den Browser und löscht alle Daten bevor man in ein anderes Netz wechselt oder per DSL eine neue IP-Nummer bekommt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

22 Ergänzungen

  1. Ich kenne mich sicher nicht so gut mit dem Thema aus wie die meisten hier, also hier ist meine Frage:
    Zum mobilen surfen benutze ich auf meinem Android-Handy den Dolphin-Browser, bei dem es auch eine Funktion zum Blockieren von Cookies gibt. Als ich diese Funktion jedoch aktiviert hatte, musste ich feststellen, dass auf der Webseite von Google (www.google.de) die Optionen zum Tracking des Standorts nur abzuschalten sind, wenn Cookies zugelassen werden, also Google dann anscheinend jederzeit auf meinen Standort zugreifen kann, wenn ich die Google-Webseite geöffnet habe. Da ich also weder möchte, das Google oder irgendein NSA-kooperatives Unternehmen auf meinen Standort oder damit zusammenhängende Daten zugreifen kann, noch auf mein Googles-Konto verzichten möchte, noch will, dass zahlreiche Webseiten in meinem Browser datensammelnde Cookies setzen, habe ich es schließlich so geregelt, dass Cookies AN sind, die Standorteinstellungen auf der Google-Webseite AUS gestellt sind, und ich von nun an regelmäßig auf bekannten und viel genutzten Webseiten die Datenschutzbestimmungen überfliege und nach der „OPt-Out“-Funktion suche und diese aktiviere. Das aber ist nun immerhin ziemlich aufwendig, weshalb ich um Unterstützung bei folgenden Fragen bitte: Gibt es vielleicht Alternativen zu meiner Methode, oder ist die ganze Aufregung übertrieben, und Google kann übeüberhaupt nicht auf meinen Standort über ihre Webseite zugreifen, weil ich das in den Handy-Einstellungen schon deaktiviert habe, egal was auf der Webseite von Google in den Einstellungen steht?
    Über eine Antwort von einem Mitforisten oder Moderator würde ich mich sehr freuen.
    MfG Arno Nüm

    1. Google und jede andere Website kann Ihren ungefähren Standort erstmal nur durch die IP feststellen. Dies lässt sich auch kaum verhindern (nur mit VPN-Server/Proxy oder der mobilen Version von Tor: Orbot).

      Zudem gibt es bei den meisten Browsern die Möglichkeit, dass sie an Websites einen genaueren Standort (festgestellt mit GPS, Netzwerk) übermitteln. Dies ist z.B. bei Foursquare etc. realtiv nützlich.

      Ich verwende Firefox, kann Ihnen also nur diesen Browser als Beispiel nennen: Wenn ich z.B. Twitter.com aufrufe, fragt mich Firefox, ob es Standortdaten übermitteln soll. Dies kann ich einfach verneinen und schon ist das Problem gelöst. Wie dies bei Dolphin funktioniert, weiß ich nicht. Grundlegend sollte der Browser aber überhaupt keinen Zugriff auf Ihren Standort haben, wenn Sie dies in den Einstellungen deaktiviert haben (Systemeinstellungen -> Standortdienste -> alle Haken raus). Somit sollte das Problem gelöst sein.

      Was Sie aber bei all der Vorsicht, die Sie an den Tag legen, beachten sollten ist folgendes: Sie besitzen ein Android Handy. Dies bedeutet Google hat von Grund auf schon Zugriff auf Ihren Standort. Klar, man kann das ausstellen. Dies ist aber nur eine rechtliche und keine technische Hürde und diese wird die NSA/ggf. auch Google nicht wirklich interessieren.

      Ich hoffe das hilft weiter.

  2. was mich interessieren würde zu dem Thema ist, wie sich RSS Feeds auf das Fingerprinting auswirken. habe nen Ordner mit RSS Feeds in den Lesezeichen, die bei jedem Start , aktualisiert werden. is das dann nur für die entsprechenden Server, auf denen die Feeds gehostet sind, einsehbar oder auch für kommerzielle Datensammler ?

    1. Das hängt vom Feed Reader ab.
      Generell würde ich sagen: Feed Reader die Inhalte aus dem Netz nachladen werden wohl eher von Cookies betroffen sein als andere.

  3. auch noch ne frage: ich benutze das firefox addon firegloves, was beworben wird dass es plugins und browser defaults anonymisieren würde. also eigentlich die antwort auf dieses problem, oder? thx für den beitrag!

  4. Würde da nicht villeicht etwas helfen das den Fingerprint veralgemeinert?
    Für Firefox würd mir da zB Fireglove einfallen. Ich weiß aber nicht ob oder inwiefehrn das überhaupt hilft.

  5. Randomisieren statt reduzieren könnte helfen. Nicht den fingerprint kleiner machen, sondern sich öfter massiv ändern lassen.

    1. Naja, ehrlich gesagt braucht es den Server (und das JavaScript/DOM) nicht zu interessieren
      1) welche Seite ich vorher besucht habe (geht niemanden was an)
      2) mit welchem Browser ich unterwegs bin (irrelevant. browserspezifisches Webseitengefrickel ist fast nie nötig)
      3) welche Version mein Browser hat (irrelevant. Ob mein Browser das Feature xy unterstützt, kann man auch einfach direkt abfragen)
      4) welche Dateiformate mein Browser ab kann (irrelevant, entweder die Website bietet einen Fallback oder es geht sowieso nicht)
      5) welche Plugins mein Browser beherrscht (Plugins haben in Zeiten von HTML5 und Canvas+JavaScript sowieso ausgedient)
      6) welche Schriften installiert sind (wenn mein Browser die Schrift zur Darstellung braucht, kann er sie ja nachladen)
      7) Bildschirmauflösung (wozu gibt es @media-Queries?)

      Eine umfangreiche Liste über diese Fingerprints gibts bei http://browserspy.dk/

  6. wir setzten fingerprints als tracking-ergänzung auf vielen Seiten ein. Der knackpunkt dabei ist flash, weil du sonst nich an fonts/Plugins kommst.

    fingerprints ohne flash macht quasi keinen Sinn (ausser man benutzt keine Std-browser)

    wie sich schützen? Flash ausschalten: geschenkt. JavaScript ausschalten: bye bye facebook/Google und alles andere :) Es wird ein Kampf gegen Windmühlen: spätestens wenn die Browser audio/Video aufnehmen können und man da irgendwelche Kennungen zur Hardware kriegt, musst du wieder von vorne anfangen :)

  7. Das sollte aber doch kein großes Problem sein, weil die Wahrscheinlichkeit,eindeutig identifiziert zu werden, ja erheblich sinkt, je mehr Nutzer eine Seite hat. Und je größer die Seiteund das dahinter stehende Unternehmen, desto wahrscheinlicher ist es ja überhaupt, dass digitale Fingerabdrücke erstellt werden.

  8. Ohne nun die Arbeit gelesen zu haben:

    Gibt es denn auch eine Möglichkeit, den Browser-Fingerprint zu randomisieren?

  9. Bonusfeature für Unitymedia-Kunden: Die eigene IP ist nur auf dem Papier dynamisch. In der Praxis ist es immer dieselbe. Wie das bei anderen Kabel-ISPs ist, kann ich nicht sagen.

    1. Kabel Deutschland wechselt die IP-Adressen der Anschlüsse in einem mir bekannten Fall höchstens monatlich.

  10. Hi,

    Unitymedia bietet da tatsäclich sehr wenig Datenschutz! Du kannst die IP aber mittels der Änderung der MAC Adresse erzwingen. Dann haste eine frische. Googel mal danach! Ich empfehle grundsätzlich einen VPN. Versuche aber die Anbieter vorher zu testen um die über die möglichen Geschwindigkeiten klar zu werden. Die können extrem schwanken. Mit Cyberghost habe ich net so tolle Erlebnisse sammeln können. Die sind schon sehr langsam. Sonderpreisaktionen sei dank. Die Qualität hat gelitten.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.