Diskussion Anonymität im Internet ist eine Illusion - Browser Fingerprinting

[BAXL]

Die IT-Cracks wissen es, andere ahnen es und vielen ist das nicht bekannt, Browser-Fingerprinting.

Wir unternehmen allerei Sachen, um im Internet unsere Identität zu verschleiern, Cookiefilter, Appblocker, eine anonyme Instanz im Browser.
Leider hilft das alles nicht viel, weil unsere Browser recht geschwätzig sind, sie geben bereitwillig Auskunft über die Konfiguration unserer Geräte.
Die Konfiguration ist quasi eindeutig und kann immer wieder identifiziert werden. Damit ist der Traum der Anonymität ausgeträumt.
Es gibt zwar Verfahren, bei denen diese Werte zumindest teilweise verschleiert werden, doch das nutzen die wenigsten.

Bei Bildonleine oder bei Golem gibt es Veröffentlichungen dazu und wer bei Google nach "Browser-Fingerprinting" sucht wird weiter fündig.

Browser-Fingerprinting: Tracking-Technik identifiziert Nutzer heimlich durch die Hintertür

Das Ausspionieren der Nutzerdaten durch die Hintertür mithilfe von Browser-Fingerprinting erzielt eine verblüffend hohe Trefferquote.

www.computerbild.de

Golem.de: IT-News für Profis

www.golem.de

Tracking: Ihr Fingerabdruck im Web

Wo Datensammeln mit Cookies eingeschränkt ist, funktioniert Fingerprint-Tracking. Wie Sie sich schützen können.

www.pcwelt.de

 

[Hasi]

Wobei das an sich eigentlich nicht neu ist - vor Jahren hatte ich schon einen Internetshop gefunden, der einen bestimmten Satz Reifen verkaufte und insgesamt den günstigsten Preis hatte.
Den günstigsten Preis gab es allerdings nur, wenn man mit Android- oder Windows-Gerät und über Google Shopping in den Shop gelangte - waren dann etwa 28€.
Nutzte man aber z.B. ein Apple-Gerät und ging direkt über den Shop auf den Artikel (also Shop-Seite aufrufen und die Suche nutzen, ohne Google als "Zwischenhändler), lag der Preis teils bei 36-38€.

Hintergrund: Diese Art der Preisdarstellung geht davon aus, dass jemand, der bereit ist, den Betrag für ein Apple-Gerät auf den Tisch zu legen, prinzipiell bereit ist, auch bei anderen Artikeln mehr auszugeben.
Soll wohl im Amazon Marketplace auch so laufen, zumindest teilweise, hat mir letzte Woche jemand von seinen Erfahrungen berichtet.

Das Browser-Fingerprinting geht nun halt noch einen Schritt weiter durch richtig eindeutige Identifizierung statt nur Gerätehersteller und Browser abzufragen.


Aber selbst ohne Identifizierung per Browser/Gerät ist mit genug Daten schon genug über jemand herauszufinden - David Kriesel hat das in seinem Vortrag "SpiegelMining" mal anschaulich dargestellt:

 

[BAXL]

Neu ist das alles nicht, nur weiß es nicht jeder Betroffene oder wird vergessen oder verdrängt. Neu ist allerdings, dass nun aufgrund der DSGVO und der Vorschrift Cockies zu melden, einige Firmen auf das Browser Fingerprinting umschwenken. So steht es in den verlinkten Artikeln.

Wie gesagt, für die IT-Cracks ist das kalter Kaffee mit Eiswürfel, dass das so geht, neu ist eben, dass das jetzt die neue Schiene nach den Cookies ist.

Edit:
das Video hatte ich bereits vor einiger Zeit verlinkt gehabt, nur habe ich das Thema wegen beginnender kontroverser Datenschutzdiskussionen wieder rausgenommen. Ich will auch hier keine neue Datenschutzdiskussion anzetteln/starten, sondern lediglich die Möglichkeit aufgrund der Veröffentlichungen anmerken.

 

[Hasi]

Neu ist das alles nicht, nur weiß es nicht jeder Betroffene oder wird vergessen oder verdrängt. Neu ist allerdings, dass nun aufgrund der DSGVO und der Vorschrift Cookies zu melden, einige Firmen auf das Browser Fingerprinting umschwenken. So steht es in den verlinkten Artikeln.

Dass es irgendwann einen Nachfolger nach den Cookies geben wird, war absehbar, seitdem die ganzen Free-VPNs und Dinge wie der Tor-Browser so populär wurden.
Was die Nachfolge war/ist, hatte sich meiner Kenntnis bisher entzogen, von daher war das tatsächlich neu für mich.

Ich will auch hier keine neue Datenschutzdiskussion anzetteln/starten, sondern lediglich die Möglichkeit aufgrund der Veröffentlichungen anmerken.

Ich auch nicht - soll nur als Veranschaulichung dienen, was möglich ist.
Entscheiden kann und wird danach ja trotzdem noch jeder, welche Daten er weitergibt oder nicht

 

[BAXL]

Entscheiden kann und wird danach ja trotzdem noch jeder, welche Daten er weitergibt oder nicht

Jein, bei den Cookies, die trotzdem noch undurchsichtig sind, hat man eine marginale Chance, beim Browser Fingerprinting, das unterm Radar der DSGVO fliegt, tappt man komplett im Dunkeln.

 

[Ojeminee]

Verdammte . Echt jetzt.
Ich schalte demnächst das Internet bei mir ab.
Ich will kein gläserner Bürger/Kunde/Konsument/Gast usw. sein.
Was ich wann, wo, wie und mit wem mache, geht doch eigentlich nur die direkt daran beteiligten Personen/Firmen/Institutionen usw. an.
Das Internet könnte so eine tolle Sache sein, wenn es nicht immer wieder irgendwelche Gestalten für ihre eigenen Interessen missbrauchen würden.

 

[BAXL]

Ich würde mal sagen, dass man sein Verhalten anpassen muss, was der informationellen Selbstbestimmung entgegen läuft. Somit wird man durch den Überwachungsdruck bereits dazu gezwungen sein Verhalten zu ändern, im Klartext, man ist nicht mehr frei.

Edit:
Etwas reißerisch, gibt mir trotzdem zu denken

 

[Mred]

Interessant finde ich, dass etwas Illegales nicht Illegal sein soll, nur weil es noch nicht explizit so abgestempelt wurde. Das ist wie mit dem Aktienhandel, da sucht man auch immer wieder nach Hintertürchen zur Steuervermeidung oder zum Steuerbetrug. Es gibt eben keine Moral mehr, der Mensch wird komplett asozial. Die Eigenschaft "menschlich" hat inzwischen eher einen negativen Charakter.

 

[Etosch]

Etwas reißerisch, gibt mir trotzdem zu denken

Das Video ist Mist - der "Darsteller" hat auf dem Gebiet keine Ahnung - man ist nicht durch Google und den Suchbegriff auf den Mittätergekommen, aber als man die Person hatte, hat man sich angeschaut, was er so alles in google gesucht hat und da ist ein auf dem PC verbliebener Suchverlauf natürlich interessant und kann ein Indiz sein. Google hat da genau gar nicht mitgeholfen )*

Zum Erschweren von Tracking hat die c't im Heft 14/2021 eine interessante Artikelserie gebracht.

)* viel schlimmer finde ich in dem Zusammenhang die folgende Sache:

EU-Parlament erlaubt flächendeckende Scans nach Kinderpornografie

Provider dürfen Inhalte wieder nach Darstellungen sexuellen Missbrauchs durchsuchen. Das hat das EU-Parlament beschlossen.

www.heise.de

Ich bin gegen Kinderpornografie, aber eine Abschaffung des Fernmeldegeheimisses im elektronischen Nachrichtenverkehr mit Konzernen als Ausführende ist mir dennoch nicht geheuer, sei es noch so effektiv (ja, effektiv, die Anzahl der Ermittlungsverfahren, die uns auf diesem Wege erreichen ist enorm)

Gruß, Axel

 

[Deleted member 1492]

Ich bin gegen Kinderpornografie, aber eine Abschaffung des Fernmeldegeheimisses im elektronischen Nachrichtenverkehr mit Konzernen als Ausführende ist mir dennoch nicht geheuer, sei es noch so effektiv (ja, effektiv, die Anzahl der Ermittlungsverfahren, die uns auf diesem Wege erreichen ist enorm)

Gruß, Axel

Ich bin voll bei Dir, auch weil ich selbst mal fast im Knast gelandet wäre.
Denn den Kinderficker hatte ich schon an seinem Hals, ein kleiner Ruck ......

Leider führt er ein gutes, wenn auch staatlich behütetes Leben, aber keine Miete, nix, fast ne Belohnung.
Da bekomme ich Heute noch Gänsehaut und zwar vor Wut! ..................... Naja, Geschichte.

Die eigentliche Frage ist aber doch, WO führt uns die aktuelle Politik in ihrer unermesslichen Bürgernähe hin?
Einerseits darf man im Auto eine Dashcam nur im Notfall laufen lassen, andererseits wird jedwede Privatsphäre ignoriert.

Und zwar vom Staat selbst, der natürlich zwar als Verteidiger der Freiheit dastehen möchte, aber das ist nur eine Farce.
Denn genau das ist nicht gewollt, genau das wird aber auch und insbesondere "grün" forciert.

Wer nicht bemerkt, was sich in der ach so "freien Welt" langsam und stetig weiterentwickelt, der sollte mal in sich gehen.

Vielleicht noch das: Wer aus Überzeugung zum Staatsdiener wurde, sollte wissen WER den Staat ausmacht.
Insbesondere die "Executive", welche zumindest in D einen hohen Bildungsgrad hat.
Persönliche Verantwortung statt sture Befehlsbefolgung ist eine Zauberformel.

 

[Der_Mario]

Bitte das Thema hier jetzt nicht politisch werden lassen und nicht auf die Exekutive unter Generalverdacht eingehen.

Ich wollte eigentlich zum eigentlichen Thema was schreiben und neben den Möglichkeiten der Identifizierung der Nutzer einige Vorteile des Fingerprint aufzeigen.

 

[Etosch]

Ja, @Der_Mario das würde mich interessieren.

Ich wollte nur das Video kurz in richtige Licht rücken und dabei Google und Co. keine weiße Weste ausstellen.

Bitte back to Fingerprinting und den Rest nicht weiter verfolgen.

Gruß, Axel

 

[Der_Mario]

Der Fingerprint bringt z.B. Vorteile für Webentwickler.
Nicht alle Broser unterstützen alles, man kann hier für Scripte/PlugIns und teilweise HTML5 Befehle Alternativen einbringen und/oder Webseiten in passenden Auflösungen anbieten.
Es gibt PC Support über Browser, hier ist es manchmal für den Supporter einfacher bestimmte Informationen über das Gerät zu bekommen, gerade wenn der Anwender nicht so fit am Computer ist.
Man kann unerwünschte Personen zuverlässiger von bestimmten Services aussperren als über IP und teilweise über MAC Adresse.

 

[BAXL]

Hallo Mario, die Technik selbst ist nicht das Problem und auch nicht die Anwendungen zugunsten der User. Man kann ein Kartoffelschälmesser eben auch zum Kartoffeln- oder Obstschälen nehmen oder jemanden damit vorsätzlich verletzen. Der Kern ist einfach nur die Info, dass es jenseits der Cookies noch weitere Möglichkeiten gibt, eine Person aus der Anonymität zu ziehen um ein Profil von ihr zu erstellen und das primär nicht zu ihrem Vorteil sondern ausschließlich zum Vorteil des auswertenden Unternehmens.

 

[Etosch]

@Der_Mario von den von Dir aufgezählten Punkten ist aber nur der letzte auf Fingerprinting zurückzuführen - die anderen basieren auf Funktionen, die zum Fingerprinting missbraucht werden.

Und wenn ich mir anschaue, dass man 3 unerwünschte Personen besser aussperren kann, aber für Millionen von Anwendern über Webseiten hinweg Profile erstellt werden, dann bin ich der Meinung, dass Fingerprinting gesetzlich verboten werden sollte - verstößt man einmal dagegen 10% vom Umsatz als Strafe, beim 2ten Verstoß wird der Laden dichtgemacht.

Wenn ich bei einem Shop einkaufe, sind cookies ja eine gute Möglichkeit, dass er Informationen über mich speichert. Auch kann er gerne über Scripte Daten soweit auslesen, dass die Shopsoftware die Anzeige auf mein Gerät anpasst, so dass man alles gut erkennen kann.

Auch gegen Referrer habe ich nichts - ich lese mir Informationen z.b. über einen Staubsauger durch und entscheide mich über einen Link auf der Seite etwas zu kaufen, wofür die Seite dann Provision erhält.

Warum aber 20 Werbenetzwerke darüber Informiert werden müssen, dass ich mir gerade etwas über Staubsager durchlese - oder über das Wahlprogramm der Linken oder über den Islam - das erschließt sich mir nicht. Das geht die alle nichts an. Man stelle sich vor, man geht in den örtlichen Supermarkt, bekommt eine ID ans Ohr geheftet und die ganze Zeit läuft jemand neben einem her und plappert ins Telefon, was man sich gerade anschaut, damit ein eindere überall in Sichtweite genau die Werbung aufhängt, die mir zu zeigen gerade irgendwem das meiste Geld wert war.

Für mich ist das Fingerprinting ein massiver Eingriff in mein Grundrecht, persönliche Lebensumstände für mich zu behalten, und der Gesetzgeber hat sich als unfähig erwiesen, den Bereich entsprechend zu regeln.

Gruß, Axel

 

[Der_Mario]

Klar, das Problem ist leider, dass man fast alles zum guten wie auch zum schlechten nutzen kann.
Und ja, die Leute sollten sowas schon wissen.
Wenn ich überlege, wie viele glauben, dass sie anonym im Internet sind wenn sie "private Modus" von ihrem Browser nutzen bin ich immer wieder erstaunt.

Und was Cookies angeht, ich weiß gar nicht wie viele Webseiten ihren Cookiebanner und die Optionen davon falsch eingestellt haben.
Hab schon auf zig Seiten alle Cookies abgelehnt und dann mal geschaut.
Klar ist das unangenehm für Verbraucher, klar müsste das nicht sein, aber da geht es um richtig Geld im Hintergrund.

Das Problem bei der ganzen Materie ist einfach, dass es so komplex geworden ist, dass wenn man da nicht tief in der Materie steckt und ich wirklich auf dem Laufenden hält, man da gar nicht mehr mitkommt.

Unterm Strich kann ich nur sagen, dass es wirklich schwer bis unmöglich ist wirklich komplett anonym im Internet unterwegs zu sein.
Was ich aber in gewisser Hinsicht auch gut finde, denn wenn es jeder recht einfach könnte wäre da in meinen Augen zu viel potential für Kriminelle.
Aber ich muss Dir @Etosch recht geben, als Verbrauchen sollte man entscheiden können bzw. eine gewisse Eigenverfügung haben wann und wo das Surfverhalten analysiert wird.
Dafür gibt es aber mittlerweile recht gute Werkzeuge.

 

[Etosch]

aber da geht es um richtig Geld im Hintergrund.

Das ist in meinen Augen eine komplette Fehlentwicklung. Ein ganzer Industriezweig, der darauf spezialisiert ist, die Verbaucher so gut wie es nur irgendwie geht auszuspionieren. Das müsste man in meinen Augen politisch korrigieren und auf ein Maß zurückschrauben, das dem einzelnen das Grundrecht auf Privatsphäre auch im Internet ohne technisches Wissen gewährleistet. Im öffentlichem Raum macht sich jeder wegen einer Videoüberwachung von Orten in die Hose, in der es vermehrt zu Straftaten gekommen ist, aber 20 Unternehmen beobachten mich dabei, wie ich im Internet nach Hausmitteln gegen gereizte Haut im Genitalbereich suche.

Dafür gibt es aber mittlerweile recht gute Werkzeuge.

Hast Du die o.g. Artikelserie in der c't gelesen? Das finde ich schon sehr aufwendig - hast Du da Ergänzungen/Verbesserungsvorschläge? Ich benutzte z.b. einen Browser für Facebook - alle anderen Browser sind mir Addons ausgestattet, die alle FB IPs auf localhost rooten. - Als ein Beispiel für einen Dienst, dem ich nicht mehr verraten will, als nötig.

Auch finde ich das Addon https://adnauseam.io/ sehr interessant.

Gruß, Axel

 

[Der_Mario]

Nein, die CT Serie dazu habe ich nicht gelesen.
Daher kann ich da auch nichts Ergänzen oder zu sagen.
Und ja, es ist leider sehr umständlich geworden je nachdem wie "anonym" man sein möchte.
Ich bin ehrlich, zum Teil habe ich mich damit abgefunden weil sich der Kampf gegen Windmühlen nicht lohnt bzw ich gerade zuhause nicht so ein Trara machen möchte sondern einfach Surfen/Nutzen.
Klar habe ich einige Blocker am laufen, aber mehr mache ich da gar nicht mehr.

Ich hoffe auch dass der Gesetzgeber da Mittel und Wege findet da was zu machen.
Aber bitte nicht wieder so wie mit der DSGVO welche Stielblüten getragen hat über die ich mich zum Teil jetzt noch köstlich amüsiere.

 

[Etosch]

Aber bitte nicht wieder so wie mit der DSGVO welche Stielblüten getragen hat über die ich mich zum Teil jetzt noch köstlich amüsiere.

Ach, ich hätte da schon eine einfache Lösung: aus der DSVGO diesen Mist mit aufgeklärtem Einverständnis ernst nehmen - Nachweispflicht darüber obliegt dem Datensammler - und nein, 0 oder 1 in einer Datenbank reicht nicht aus, sondern es muss der Nachweis erbracht werden, dass der Verbraucher wirklich verstanden hat, in was er da einwilligt - d.h. 3-jähriges Jurastudium Fachrichtung Datenschutzrecht. Die zwei, die alles verstanden haben, dürfen dann getracked werden und der Rest der Menscheit nicht - da daran auch diese lustlosen Banner nichts ändern, könnte man sich die auch sparen.

Und dann noch den Passus mit der anzunehmenden Zustimmung der Datenverarbeitung bei berechtigen, wirtschaftlichem Interesse streichen - wie kann man nur darauf kommen, dass wohl jeder damit einverstanden sein wird, wenn jemand anderes wirtschaftliches Interesse hat.

Bis dahin kann ich die Artikelserie nur jedem ans Herz legen, der sich ein klein wenig weniger durchleuchten lassen will.

Gruß, Axel