ThE-WeB-MaTRiX

Wer nicht möchte, dass Webseitenbetreiber über seine Besuche Protokoll führen, deaktiviert im Browser die Cookies oder löscht sie regelmäßig. Doch das Gefühl, damit die eigenen Spuren verwischt zu haben, ist trügerisch. Denn inzwischen existiert eine Methode zur Verfolgung der Online-Aktivitäten, die kaum noch ausgehebelt werden kann. Unter dem Namen "Canvas Fingerprinting" wird sie bereits von Tausenden Websites eingesetzt. Ihre Nutzer reichen nach Angaben von Wissenschaftlern vom Schmuddel-Portal YouPorn bis zum Netzauftritt des Weißen Hauses. Auch t-online.de steht auf der bunt gemischten Liste, die Forscher von der Princeton University und der Universität von Löwen nun veröffentlichten.

http://www.spiegel.de/netzwelt/web/canv ... 82280.html

enWP:

The Electronic Frontier Foundation (EFF) has developed a countermeasure to canvas fingerprinting called Privacy Badger.

gilt aber noch nicht als ausgereift, zumindest in den konkreten Umsetzungen für einzelne Browser, z.B. Firefox

Dann ist das etwas für die nächste FF-Version. Ich frage mich, ob man nicht Browser dazu bringen kann, einfach nicht diese von canvas angeforderten Graphiken zu erzeugen.

das ist wie der Wettlauf zwischen Hase und Igel, oder zwischen Biomedizinern und Anti-Doping-Behörden^^

Sollte sich durch NoScript entschärfen lassen. Funktioniert ja nur, wenn für die Seite, von der Canvas kommt, Javascript aktiviert ist. Wenn Youtube jetzt Canvas implementiert und das mit ein wenig Glück auch aus einer fremden Quelle importiert wird, man dann während man auf Youtube ist, eben nur Youtube erlaubt und den Rest blockt, wäre man mwn. sicher. Sicherlich lassen sich da - wenn nicht jetzt schon - dann in ein paar Wochen Site-Checker finden, mit denen man dann rausfindet, ob seine regelmäßig frequentierten Seiten das einsetzen.

Interessant wird es bei Tor, da wurde kürzlich die Publikation einer großen Schwachstelle noch verhindert, evtl. hängt das mit Canvas zusammen. Tor wird ja im Browser Bundle mit aktiviertem Javascript ausgeliefert. Wer da mit Tor dann ein Canvas erzeugt, am nächsten Tag die gleiche Seite ohne Tor besucht, wäre somit identifiziert.

Da ich nicht mehr editieren kann, hier der Nachtrag bezüglich Tor:
Eventuell handelt es sich bei der angekündigten Schwachstelle um diese, hat dann nichts mit Canvas zu tun, ist für den 0815-Tor-Benutzer auch eher uninteressant, wie es scheint.

Schon fies, aber im Vergleich zu anderen Tricks wie der History-Identifikation eigentlich gar nicht so schlimm - eigentlich, wenn es nur von einer einzelnen Seite eingesetzt würde, nicht von Werbenetzwerken. Die sind schon in Sachen unabsichtlicher Schadsoftwareverbreitung ein übles Sicherheitsrisiko, dazu die konventionellen Trackingmethoden, dann noch sowas - gegen das Grundkonzept zentral verteilter Werbung mit aktiven Skriptelementen müsste eigentlich international-regulatorisch vorgegangen werden.

Die angeblichen 90% Identifikationsrate kommen mir auch fragwürdig vor. Sicher sind die kombinatorisch möglichen eindeutigen Signaturen ausreichend, um alle Gerätekonfigurationen abzudecken - aber in der Realität sind ja nicht alle Komponenten gleichmäßig zufällig verteilt, sondern wer Standard-Hard- und -Software benutzt, sollte insofern ausnahmsweise mal sicherer sein.

Zitat von Anaeyon:Wer da mit Tor dann ein Canvas erzeugt, am nächsten Tag die gleiche Seite ohne Tor besucht, wäre somit identifiziert.

Da es den Torbutton für den Standard-FF nicht mehr gibt, sondern eben nur noch das Browser Bundle, würde man doch nicht mehr identifiziert, sobald die beiden FFs verschiedene Versionen haben?