Canvas Fingerprinting

Die Große Welt des WWW. Hier kann über Technik, Seiten und Programme (Browser, Messenger, Chats, Email usw) geredet werden.
Ipsissimus
Dämmerung
Lebende Legende

Benutzeravatar
 
Beiträge: 10251
Registriert: 29.10.2004
Di 22. Jul 2014, 15:35 - Beitrag #1

Canvas Fingerprinting

Wer nicht möchte, dass Webseitenbetreiber über seine Besuche Protokoll führen, deaktiviert im Browser die Cookies oder löscht sie regelmäßig. Doch das Gefühl, damit die eigenen Spuren verwischt zu haben, ist trügerisch. Denn inzwischen existiert eine Methode zur Verfolgung der Online-Aktivitäten, die kaum noch ausgehebelt werden kann. Unter dem Namen "Canvas Fingerprinting" wird sie bereits von Tausenden Websites eingesetzt. Ihre Nutzer reichen nach Angaben von Wissenschaftlern vom Schmuddel-Portal YouPorn bis zum Netzauftritt des Weißen Hauses. Auch t-online.de steht auf der bunt gemischten Liste, die Forscher von der Princeton University und der Universität von Löwen nun veröffentlichten.


http://www.spiegel.de/netzwelt/web/canv ... 82280.html

janw
Moderator
Moderator

Benutzeravatar
 
Beiträge: 8488
Registriert: 11.10.2003
Di 22. Jul 2014, 22:06 - Beitrag #2

enWP:
The Electronic Frontier Foundation (EFF) has developed a countermeasure to canvas fingerprinting called Privacy Badger.

Ipsissimus
Dämmerung
Lebende Legende

Benutzeravatar
 
Beiträge: 10251
Registriert: 29.10.2004
Mi 23. Jul 2014, 11:52 - Beitrag #3

gilt aber noch nicht als ausgereift, zumindest in den konkreten Umsetzungen für einzelne Browser, z.B. Firefox

janw
Moderator
Moderator

Benutzeravatar
 
Beiträge: 8488
Registriert: 11.10.2003
Mi 23. Jul 2014, 12:39 - Beitrag #4

Dann ist das etwas für die nächste FF-Version. Ich frage mich, ob man nicht Browser dazu bringen kann, einfach nicht diese von canvas angeforderten Graphiken zu erzeugen.

Ipsissimus
Dämmerung
Lebende Legende

Benutzeravatar
 
Beiträge: 10251
Registriert: 29.10.2004
Mi 23. Jul 2014, 15:00 - Beitrag #5

das ist wie der Wettlauf zwischen Hase und Igel, oder zwischen Biomedizinern und Anti-Doping-Behörden^^

Anaeyon
VIP Member
VIP Member

Benutzeravatar
 
Beiträge: 1287
Registriert: 03.08.2004
Mi 23. Jul 2014, 21:44 - Beitrag #6

Sollte sich durch NoScript entschärfen lassen. Funktioniert ja nur, wenn für die Seite, von der Canvas kommt, Javascript aktiviert ist. Wenn Youtube jetzt Canvas implementiert und das mit ein wenig Glück auch aus einer fremden Quelle importiert wird, man dann während man auf Youtube ist, eben nur Youtube erlaubt und den Rest blockt, wäre man mwn. sicher. Sicherlich lassen sich da - wenn nicht jetzt schon - dann in ein paar Wochen Site-Checker finden, mit denen man dann rausfindet, ob seine regelmäßig frequentierten Seiten das einsetzen.

Interessant wird es bei Tor, da wurde kürzlich die Publikation einer großen Schwachstelle noch verhindert, evtl. hängt das mit Canvas zusammen. Tor wird ja im Browser Bundle mit aktiviertem Javascript ausgeliefert. Wer da mit Tor dann ein Canvas erzeugt, am nächsten Tag die gleiche Seite ohne Tor besucht, wäre somit identifiziert.

Anaeyon
VIP Member
VIP Member

Benutzeravatar
 
Beiträge: 1287
Registriert: 03.08.2004
Fr 25. Jul 2014, 21:15 - Beitrag #7

Da ich nicht mehr editieren kann, hier der Nachtrag bezüglich Tor:
Eventuell handelt es sich bei der angekündigten Schwachstelle um diese, hat dann nichts mit Canvas zu tun, ist für den 0815-Tor-Benutzer auch eher uninteressant, wie es scheint.

Traitor
Administrator
Administrator

Benutzeravatar
 
Beiträge: 17500
Registriert: 26.05.2001
Do 7. Aug 2014, 23:28 - Beitrag #8

Schon fies, aber im Vergleich zu anderen Tricks wie der History-Identifikation eigentlich gar nicht so schlimm - eigentlich, wenn es nur von einer einzelnen Seite eingesetzt würde, nicht von Werbenetzwerken. Die sind schon in Sachen unabsichtlicher Schadsoftwareverbreitung ein übles Sicherheitsrisiko, dazu die konventionellen Trackingmethoden, dann noch sowas - gegen das Grundkonzept zentral verteilter Werbung mit aktiven Skriptelementen müsste eigentlich international-regulatorisch vorgegangen werden.

Die angeblichen 90% Identifikationsrate kommen mir auch fragwürdig vor. Sicher sind die kombinatorisch möglichen eindeutigen Signaturen ausreichend, um alle Gerätekonfigurationen abzudecken - aber in der Realität sind ja nicht alle Komponenten gleichmäßig zufällig verteilt, sondern wer Standard-Hard- und -Software benutzt, sollte insofern ausnahmsweise mal sicherer sein.

Zitat von Anaeyon:Wer da mit Tor dann ein Canvas erzeugt, am nächsten Tag die gleiche Seite ohne Tor besucht, wäre somit identifiziert.
Da es den Torbutton für den Standard-FF nicht mehr gibt, sondern eben nur noch das Browser Bundle, würde man doch nicht mehr identifiziert, sobald die beiden FFs verschiedene Versionen haben?


Zurück zu Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste