Canvas Fingerprinting

aus Wikipedia, der freien Enzyklopädie

Canvas Fingerprinting ist ein Sammelbegriff für eine Reihe von Nutzerverfolgungs-Techniken, um Online-Benutzer ohne Verwendung von Cookies eindeutig zu identifizieren. Sobald die Identifizierung möglich ist, kann beispielsweise das Internetnutzungsverhalten beobachtet und analysiert werden. Canvas Fingerprinting kann mit Standardeinstellungen des Browsers nur schwer verhindert werden (Stand: Juli 2014) und wird als nichtlöschbarer Cookie-Nachfolger betrachtet.[1][2]

Im Rahmen einer Studie der Princeton-Universität und der Katholischen Universität Leuven[3] wurde festgestellt, dass von 100.000 untersuchten Webseiten 5,5 % diese Technik einsetzen. Verwendet würden dabei Skripte der Webdienstleister Ligatus und AddThis.[1]

Funktionsweise

Beim Canvas Fingerprinting wird der Effekt ausgenutzt, dass bei Canvas-Elementen die Darstellung von Text je nach Betriebssystem, Browser, Grafikkarte, Grafiktreiber und installierten Fonts variiert. Um beim Seitenbesucher einen spezifischen Fingerabdruck zum Zeitpunkt des Seitenaufrufs zu erstellen, wird dem Browser ein versteckter Text zur Anzeige übergeben. Hierzu sind nur wenige Programmzeilen JavaScript notwendig.[4] Durch die einzigartige Darstellung kann ab diesem Zeitpunkt der Benutzer mit hoher Wahrscheinlichkeit wiedererkannt und damit auch sein Surfverhalten beobachtet werden.[5][2] In einer Studie der Electronic Frontier Foundation konnte nachgewiesen werden, dass im Rahmen der Studie eine Eindeutigkeit von 83,6 % gegeben ist. Problematisch ist aber die Veränderung des Fingerabdruckes über einen Zeitraum hinweg, da sich der Fingerabdruck des Browsers verändert, wenn beispielsweise eine neue Schrift im Browser aktiviert wird.[6]

Gegenmaßnahmen

Derzeitige Methoden, Canvas Fingerprinting zu verhindern, sind:[7]

  • Blockieren von bekannten Fingerprinting-Skripts auf Basis einer Blacklist.
  • Verhindern der Übermittlung des vom Browser gerenderten Canvas-Elements.
  • Canvas-Elemente durch Hinzufügen von Zufallsdaten für Fingerprinting unbrauchbar machen.
  • Mit dem Deaktivieren von JavaScript wird Canvas Fingerprinting unmöglich. Allerdings führt das bei vielen Websites dazu, dass diese unbenutzbar werden.

Mehrere Browser-Add-ons verhindern oder verfälschen das Auslesen eines eindeutigen Fingerprints. Neben dedizierten Add-ons, wie z. B. CanvasBlocker[8][9] für Firefox, enthält auch die Erweiterung Privacy Badger der Electronic Frontier Foundation (EFF) einen Canvas-Fingerprinting-Schutz; allerdings hilft dieser nur bei Canvas Fingerprinting durch Drittanbieter-Domains.[10] Adblock Plus will mit einer Verhinderung der Übermittlung der Canvas-Grafik User-Tracking ebenfalls unterbinden.[11]

Der auf Firefox basierende Browser Pale Moon hat ab der Version 25.6 eine Funktion, die es ermöglicht, Canvas-Fingerprinting deutlich zu erschweren.[12]

Weblinks

Einzelnachweise

  1. a b Jo Bager: User-Tracking: Werbefirmen setzen bereits häufig "nicht-löschbare" Cookie-Nachfolger ein. heise.de, 22. Juli 2014, abgerufen am 24. Juli 2014.
  2. a b Canvas Fingerprinting: AddThis trackt Nutzer von YouPorn, kinox.to und Co. Archiviert vom Original am 24. April 2013; abgerufen am 14. Januar 2019.
  3. Gunes Acar, Christian Eubank, Steven Englehardt, Marc Juarez, Arvind Narayanan, Claudia Diaz. The Web never forgets: Persistent tracking mechanisms in the wild. Draft. Abgerufen am 28. Juli 2014.
  4. Canvas Fingerprinting - BrowserLeaks.com. Abgerufen am 19. Januar 2019 (englisch).
  5. Canvas Fingerprinting: Adblock Plus stoppt Tracking. chip.de, 24. Juli 2014, abgerufen am 24. Juli 2014.
  6. Peter Eckersley: How unique is your browser? (PDF) Electronic Frontier Foundation, abgerufen am 23. Februar 2016.
  7. Fingerprinting mit HTML5 Canvas Elementen blockieren. In: Privacy-Handbuch. Abgerufen am 18. Januar 2019.
  8. Süddeutsche de GmbH, Munich Germany: Canvasblocker sorgt für Trackingschutz beim Firefox-Browser - Wissen-News. Süddeutsche Zeitung, 23. August 2018;.
  9. kkapsner: A Firefox Plugin to protect from being fingerprinted: kkapsner/CanvasBlocker. In: GitHub. 19. Januar 2019, abgerufen am 19. Januar 2019 (englisch).
  10. Electronic Frontier Foundation: Privacy Badger. Abgerufen am 17. Januar 2021.
  11. Canvas Fingerprinting: Adblock Plus stoppt Tracking. In: CHIP Online. 25. Juli 2014, abgerufen am 15. Februar 2017.
  12. https://forum.palemoon.org/viewtopic.php?f=1&t=8943 Abgerufen am 9. August 2015.