Mach den Test: Bist Du eingeloggt?

Wenn man mal wieder bei fünfzig Tabs in drei verschiedenen Browsern den Überblick verloren hat, hilft eine praktische Website: Your Social Media Fingerprint von Robin Linus demonstriert, wie jede beliebige Website, die ein Nutzer anklickt, herausfinden kann, wo man überall eingeloggt ist. Für manche dürfte das Ergebnis überraschend sein, denn nicht immer ist sich der Nutzer dessen bewusst.

Man bekommt ein übersichtliches Ergebnis, bei welchen Diensten man momentan eingeloggt ist, Voraussetzung ist allerdings JavaScript. Es ist schon seit vielen Jahren bekannt, dass der Eingeloggt-Status bei aktiviertem JavaScript sehr einfach detektierbar („cross-domain information leakage“) und auch böswillig ausnutzbar ist.

Abhilfe gibt es natürlich auch schon lange, beispielsweise für den Mozilla-Browser als Firefox-Extension. Beliebt ist auch der Privacy Badger.

Wer bei der Gelegenheit gleich noch wissen möchte, was die eigenen Browser an Daten herausgeben, kann auf panopticlick oder auf webkay klicken.

22 Ergänzungen

  1. Danke für diesen Artikel/Link! Nach dem Deaktivieren einiger Firefox-Addons (u. a. Privacy Badger) hat die Seite tatsächlich zwei Logins ausgespuckt, von denen mir einer nicht bewußt war. Cookies von battle.net haben, wie ich jetzt weiß, eine ziemlich ordentliche Lebenszeit.

    Das Eingeloggt-Sein auf YouTube hat die Seite nicht erkannt, aber das kann am manuellen Löschen der Google-Cookies liegen (nur youtube.com und accounts,youtube.com wird behalten).

    1. You are logged in to:
      No platform
      (or you’re using something like Privacy Badger)

      You are not logged in to:

      … nada …

      1. Das „not logged in to“ hatte ich ganz übersehen. Sollte da nicht irgendwas stehen? Scheint wohl buggy zu sein.

          1. Ich soll also die Sicherheitsmaßnahmen abschalten, deretwegen ich nicht getracked werden kann, damit ich einen Test machen kann, ob ich getracked werde? Bin mir nicht sicher, ob das wirklich sinnvoll wäre.

          2. Du brauchst nicht deine Sicherheitsvorkehrungen komplett abschalten.
            Nur, wenn du den Test machen will, solltest du die Bedingungen des Tests schon erfüllen:
            3. PartyCookies und das für den Test verantwortliche Skript (temporär) zulassen.

            Wenn der Test gar nicht läuft erscheint auch „You are logged in to: No platform“ ;-)
            Er lief bei dir vermutlich also gar nicht…

          3. „Er lief bei dir vermutlich also gar nicht…“

            Ich verbuche das mal als Erfolg. Keine Cookies. Kein Javascript. Keine 3rd-Party Request. Keine Referrer. Alle Tracker und sonstiger Müll auf der Blacklist. Wer mich tracken will, muss sich außergewöhnlich viel Mühe geben. Das werde ich sicher nicht abschalten, um mich davon zu überzeugen, dass ich unter dem Radar fliege. Ich bin halt besser als ihr ;)

  2. Besonders cool ist das natürlich, wenn man beim Testen in Paralleltabs eingeloggt ist, aber man es dennoch nicht sieht :-)

  3. Es geht auch ohne explizite „Privacy“-Addons: Javascript aus (NoScript!) und schon sind Drittseiten blind. Dessen muss man muss sich natürlich bewusst sein, wenn man dann doch temporär Javascript irgendwo aktiviert.

  4. Eine super Idee, um die Möglichkeiten des Trackings zu visualisieren. Hoffentlich trägt das ein wenig zur Sensibilisierung bei einigen der User bei.
    Warum jedoch unbedingt jeder der Dienste mitbekommen muss, dass man diesen Test macht erschliesst sich mir nicht so ganz. Das Laden der jeweiligen Symbole der Websites muss ja nun wirklich nicht von deren Server erfolgen.

  5. Also irgendetwas stimmt an diesem Test nicht, ich soll eingeloggt sein bei…:
    Twitter > Stimmt!
    GooglePlus > Google Account ja, eingeloggt auch, G+ nie benutzt.
    Reddit > Noch nie davon gehört…
    Flickr > Stimmt!
    VK > Noch nie gehört…

    Eingeloggt aber nicht aufgeführt:
    Pinterest
    Youtube
    Skype
    Amazon
    Dropbox
    Slack

  6. Sehr nice und vor allem gut erklärt. Tja manch einer zieht einfach schnell nach und fixt es, dem anderen isses egal.

  7. Eure Empfehlung zu NoScript und RequestPolicy möchte ich unterstützen, ganz besonders in Kombination, da beide Add-Ons grundverschiedene Aufgaben übernehmen:

    RequestPolicy unterbindet jeglichen Zugriff auf Domains jenseits der aufgerufenen Seite und bietet somit nicht nur einen großen Sicherheitsgewinn, sondern auch hervorragenden Schutz vor „Tracking“.

    NoScript wird vor allem für seine Funktion zum Blockieren von Javascript geschätzt, so dass über RequestPolicy zugelassene Seiten z.B. Bilder, Stylesheets, Schriften etc. zur Verfügung stellen können, deren Javascript jedoch weiterhin außen vor bleibt. Weniger bekannt sind einige weitere Schutzfunktionen von NoScript, die unauffällig im Hintergrund wirken: Dies sind unter Anderem ein Schutz vor Cross-Site-Scripting (XSS), das Erzwingen von HTTPS-Verbidungen und ein Clickjacking-Schutz. Diese Funktionen bleiben auch aktiv, wenn Javascript durch den Anwender freigegeben wird und haben mich tatsächlich schon das eine oder andere Mal mit „ausgeschaltetem Hirn“ erwischt. Insofern bietet auch ein NoScript mit „global erlaubtem“ Javascript, beispielsweise in Verbindung mit Add-Ons wie „uBlock origin“ oder uMatrix, einen Sicherheitsgewinn.

    Wer sich anfänglich ein wenig Mühe beim Anlegen der beiden Whitelists gibt, wird schon bald, wenigstens mit den Standard-Anbietern sowie innerhalb der selbst-auferlegten Filterblase, immer seltener auf Einschränkungen des Netzkonsums treffen.

    1. Man kann auch noch Random Agent Spoofer dazunehmen. Es geht fast nie um irgendwelche Angriffe. Die kriegt man fast nur im Schmuddelmilieau ab. Tracking wird durch noscript&co. natürlich nicht begrenzt. Mit dem o.g.Teil schon. Der Firefox ist bei Panopticlick nicht besser als IE11. Da nehmen sich die Browser alle nichts.

      Wer es wirklich sicher mag, sollte den Tor-Browser verwenden und die Sicherheitsstufe seinem jeweiligen Bedarf anpassen. Im Tor sind https-everywhere und noscript implementiert, mit dem kleinen Unterschied dass sie keine Daten an Joes Datencenter senden. Auch der Mozilla im Tor baut nicht massenhaft Verbindungen zu Akamai, Amazon und sonstwen auf, was er als normaler Firefox tut. Ich denke mit dem Tor und geringer Sicherheit, die der Standard ist, ist man besser vor Tracking und Angriffen geschützt, als mit dem Firefox oder anderen Browsern.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.