Forscher der Universität Princeton haben herausgefunden, dass es mit Hilfe von Werbung im Internet möglich ist, 62 bis 73 Prozent eines typischen Browserverlaufes zu rekonstruieren. Auf Grundlage der Ergebnisse fragte sich Tim Wambach, ob Tracking in einem Bereich stattfindet, in dem man dies vielleicht nicht erwartet, zum Beispiel bei Webseiten von Krankenhäusern. Wambach ist wissenschaftlicher Mitarbeiter der Uni Koblenz-Landau und filterte unter dem Suchbegriff „Lungenkrebs“ 893 Klinikwebseiten und analysierte diese. Insgesamt wurden seine Daten dabei an 1.277 Drittanbieter weitergegeben. Vor allem Tracker wie „www.google-analytics.com“ und „fonts.googleapis.com“ waren auf vielen Seiten vorhanden. Auf 62 Prozent der untersuchten Seiten fand sich einer der zahlreichen Tracker von Google.
Nutzerdaten bringen Geld
Das Geschäft mit Nutzerdaten ist riesig, so dass es nicht verwunderlich ist, wenn Rechenzentren Tracker wie beispielsweise „DoubleClick“ auf ihrer Seite einbinden, um ein paar Euro dazu zu verdienen. In den meisten Fällen geschieht die Einbindung eines Trackers auf Webseiten aber wohl unwissentlich. Problematisch wird das vor allem bei Seiten mit sensiblen Daten, zu denen Kliniken und Krankenhäuser zählen. Wenn auf diesen Seiten Webtracker vorhanden sind, können die Drittanbieter, welche die Tracker betreiben, diese Daten speichern und dem Nutzer zuordnen.
Doch wie kann man das verhindern?
Als Betreiber einer Webseite hat man die Möglichkeit, ohne Tracker zu arbeiten. Allerdings ist dann viel Eigeninitiative gefragt, zum Beispiel müssen bestimmte Fonts auf dem eigenen Server gehostet werden. Als User kann man sich mit Tools wie „Ghostery“ oder „noscript“ gegen Tracking wehren. Die Ergebnisse seiner Arbeit hat Tim Wambach im Rahmen der MRMCD16 (MetaRheinMainChaosDays) vorgestellt. Seinen und weitere spannende Vorträge findet ihr hier.
Ein weiteres (in meinen Augen) unverzichtbares Tool zum Verhindern von Tracking ist uBlock Origin, welches es als Plugin für (mindestens) Firefox, Chrome und Opera gibt.
Hiermit kann man Scripte blockieren, entweder nach Filterlisten oder auch gezielt nach Herkunft.
https://github.com/gorhill/uBlock/
Hey,
ublock hört sich sehr gut an, ist wahrscheinlich etwas einfacher als RequestPolicy, welches ich seit langer Zeit benutze. Bei RequestPolicy kann man entscheiden, welche Website welche Scripte einbinden darf. Ist praktisch, wenn man z.B. ajax.googleapis.com auf einer Website braucht und auf einer anderen nicht.
Ghostaway wäre auch schön, aber das heißt Ghostery :)
Jetzt bricht bestimmt gleich wieder die Adblocker Diskussion los. Vielleicht wär es besser, statt dem Satz „Als User kann man sich mit Tools wie „ghostaway“ oder „noscript“ gegen Tracking wehren. “ auf schon vorhandene Artikel zu verlinken. Ghostery verfolgt ein fragwürdiges Geschäftskonzept, ist closed source und trackt selbst wenn man es nicht ausstellt. Noscript ist meiner Meinung nach extrem Benutzerunfreundlich.
Ich persönlich kann ublock sehr empfehlen.
PS, kann man eigentlich endliche mal diese blöde Emailabfrage beim Kommentieren hier abschalten???
Ich bin mir nicht sicher, aber das Plugin, das im letzten Absatz erwähnt wird, heißt glaube ich „Ghostery“ nicht „ghostaway“.
Vielen Dank für den Hinweis!
eh, der hinweis kam im vorherigen kommentar auch schon
Zum Unfang von Web-Tracking ist dieses Paper auch interessant: „Tracking the Trackers:
A Large-Scale Analysis of Embedded Web Trackers“ (https://ssc.io/pdf/trackers.pdf)
Der PrivacyBadger wurde wohl noch auf der Webseite nachgereicht: http://blog.infsec.de/2016/09/05/privacy-badger-im-vergleich/
Keine Bange, Webfonts vom
eigenen Server einzubinden ist eigentlich nicht schwerer, als sie von Google Fonts einzubinden. Problematisch ist einzig, dass Google die Downloadfunktion für Webfonts mittlerweile extrem gut versteckt hat. Zum Glück gibt es aber noch andere kostenlose Webfont-Quellen.
Erwähnung verdient auch der Blocker „uMatrix“, weil er alles kann. In den Einstellungen konfigurierbar und auf jeder beliebigen Webseite separat noch einmal schaltbar. Dazu noch „Canvas Fingerprinting“.
mfg R.K.
dazu about:config und webgl suchen, schaltet noscript ab, man kann es aber auch noch manuell abschalten. Das sind die im Vortrag genannten Schriften. Dann canvas auch about:config, canvas
Random Agent Spoofer wäre auch noch interessant. Da läßt sich der Agent alle paar Minuten wechseln und der Referrer abschalten. Ansonsten stimme ich Herrn Wambach zu, mit noscript ist man recht restriktiv unterwegs. Eins fehlt, man muss Firefox der HSTS-Tracking – Methode „berauben“. Dazu about:support eingeben, den Ordner Profilverzeichnis öffnen, die Datei SiteSecurityServiceState.txt öffnen, den Inhalt löschen, die Datei speichern und schreibgeschützt setzen. Bevor man löscht, kann man genau nachsehen, wer einen perfekt getrackt hat. Diese Methode mit HSTS – Tracking war auch bei der NSA beliebt. Sie wird es auch immer noch sein.
Riesen Dank für den Hinweis! Muss ich mit irgendwelchem „ungewöhnlichen“ Verhalten künftig rechnen?