bin mal wieder über einen interessanten Bericht bei Golem.de gestolpert: http://www.golem.de/1005/75176.html - das darin Geschriebene hat mir doch zu Denken gegeben, da ich die dort aufgeführten Gedankengänge in dieser Form noch nicht hatte - ich zitiere mal:
"Browser lassen sich anhand der von ihnen übermittelten Systemkomfiguration recht zuverlässig wiedererkennen, dies belegt die Untersuchung How Unique Is Your Web Browser? der EFF. Im Experiment mit 470.161 Nutzern wiesen 83,6 Prozent der verwendeten Browser einen eindeutigen Fingerabdruck auf. Weitere 5,3 Prozent kamen nur zweimal vor."
Wenn ich mir mal so meine Konfiguration vom FF so anschaue, dann bin ich mir ziemlich sicher, dass diese aufgrund Ihrer Vielschichtigkeit (Plugins, Anzhal Bookmarks, EInstellungen, etc. - das Ganze noch in Verbindung mit dem BS, Bildschirmauflösung, etc.) relativ einzigartig ist.... und ich mache mir Gedanken über Datenschutz bei Google / Facebook *spotz*
Bei mir ist das Verhältnis 1 aus 4719 - also nicht gerade einmalig...
Allerdings surfe ich auch mit Noscript, und die meisten Fingerprintabfragen benötigen Javascript. Wenn ich auf der Seite Javascript erlaube ist mein Fingerprint 'einmalig',
habe mal Deinen Link verfolgt, leider streiken da meine "Translator" kommt nur "Error" bei übersetzte Url.
Schade, die Seite, egal ob mit oder ohne Auswertung wird nicht übersetzt, ist bei Babel Fish eigentlich sehr selten das was nicht übersetzt wird.
Aber das hat nichts direkt mit Deinem Link zu tun sondern nur mit "fehlendem Englisch" bei mir.
Bei mir ist das Verhältnis 1 aus 4719 - also nicht gerade einmalig...
Gratuliere! Eine Superquote. Bei Millionen und Abermillionen von Surfern hast du dann jede Menge "Doppelgänger". Mein Browser hingegen wurde als "unique" eingestuft, was u.a. natürlich auch damit zu tun hat, dass ich mit dem relativ seltenen Mac OS X unterwegs bin.
Javascript kann man natürlich abschalten, wobei man natürlich auch Funktionalität verliert.
Eins gebe ich zu bedenken: der klarste, sauberste und schönste Fingerabdruck nützt der Kriminalpolizei nicht, wenn sie nicht weiß, zu wem er gehört. Solange ich also meine persönlichen Daten nicht preisgebe, nützt die ganze Data-Minerei und Profilierei überhaupt nichts.
Seiten die Javascript benötigen und denen ich vertraue gebe ich Javascript frei, auf allen anderen Seiten bleibt es deaktiviert. Und ich kann nach den Ursprungsadressen filtern...
Bsp. hier auf Nickles ist für www.nickles.de Javascript aktiv, während die Scripte von googleadservices.com und google-analytics.com (die Nickles anscheinen extern eingebunden hat) verboten bleiben. Dabei ist die Nickles-Seite voll funktionsfähig, Google hat Pech gehabt...
Danke ABatC - das klingt wirklich sehr gut durchdacht und ausgefeilt.
Da ich generell ein ziemlicher Plugin-Muffel bin, habe ich mich mit NoScript bislang noch nicht beschäftigt. So wie du das schilderst, macht es aber wirklich Sinn.
Wie gesagt, ich will die Ergebnisse des Fingerprintings nicht überbewerten, um den User tatsächlich zu ent-anonymisieren müsste der schon selbst im passenden Kontext seine Adresse rausrücken - trotzdem. Dein Ergebnis - 1:4719 - finde ich schon recht eindrucksvoll, insbesondere da du ja sagst, ohne NoScript wärst du auch "unique", genau wie ich.
NoScript blockiert nicht nur JavaScript, auch Flash, Silverlight und Java Inhalte werden nur von freigegebenen Seiten geladen. Dazu versucht es Click Hijacking und Cross-Site-Scripting zu verhindern.
Auf der Webseite werden die Funktionen eigentlich ganz brauchbar erklärt. http://noscript.net/
NoScript sollte eigentlich ein Pflicht-Plugin für Firefox-User sein....
Deine Ausführungen sind so überzeugend, dass ich mir NoScript soeben installiert und die ersten Gehversuche mit der Konfiguration gemacht habe. Nickles.de ist im Allgemeinen erlaubt, Schund wie dieser Debili-, äh Intellitext allerdings nicht.
Wenn ich mir so im einzelnen angucke, was NoScript alles kann, dann brauche ich Adblock Plus bald gar nicht mehr, glaube ich...!
Kannst du denn beim Konqueror kein Javascript abschalten?
Ich meine, ip-secrets schlüsselt ja auf, welche Art Daten über die IP-Adresse und welche mittels Javascript ermittelt werden. Zumindest eine Abschaltung sollte da helfen, wenn es denn wirklich nötig ist. NoScript - siehe weiter oben bei ABatC - erscheint da natürlich bedeutend eleganter.
Ich glaube das geht, es ist zwar der eigentliche KDE Browser, aber soll recht gut konfigurierbar sein.
Auf der seite von Malte, den rest des Namens habe ich vergessen, wird er als einer der Sichersten eingeschätzt.
Nicht soo neu aber noch aktuell genug.
(pema1983 gab mal einen Link dazu)
Allgemein spricht viel dafür mehr als einen Browser einzusetzen.
-- Einen wo man alles sieht, ohne Adblock, Flashblock und Noscript.
-- Einen wo vieles deaktiviert ist.
Man kann sogar, zwei Firefüchse nehmen, einen aktuellen und einen brandneuen Fuchs.
Noscript erscheint wirklich elegant, da es wohl gut kondtionierbar ist.
Ganz verbergen kann man den Browser damit wohl auch nicht.
Bis auf dieses nehme ich ehrlichgestanden garkeine Blocker.Oft nichtmal den.(erwischt:-)
-- Man bekommt eine Art 6ten Sinn zum Wegklicken von Werbung.
Außer bei besonders garstiger.
bei mir steht "one in 3,325 browsers have the same fingerprint as yours".
Angeblich habe ich Windows 7 mit IE8. Dabei habe ich noch den Vorgänger und Firefox :)
Das einzige, was erkannt wird, ist, woher ich komme. Sogar die Stadt ist richtig. Mehr ist aber nicht rausgekommen.
Sollte ich noch über andere DNS, VPN oder ähnlichem gehen, wird es vermutlich schwer, mich ausfindig zu machen. Will ich doch mal hoffen, auch wenn ich nichts böses vorhabe. :D
Ist ja auch kein Problem, den User_Agent_String beim Firefox zu ändern, dann kann man der Webseite jeden Browser und jedes Betriebssystem vorgaukeln...steht z.B. hier: http://www.firefox-browser.de/wiki/User_Agent
Du scheinst hier ganz brauchbare Link aufgezeigt zu haben, habe alle verfolgt, auch NoScript,
bis auf die Erläuterung im wiki ist alles in englisch und es findet sich auch keine Umstellung der Sprachen auf den Seiten. Ich finde es eigentlich sehr schade, es sind einfach zu viele Seiten die gut sind wo es keine Spracheinstellung (in deutsch) gibt.
Hat direkt keine Verbindung zum Thread hier, nur das es doch vielen User damit schlicht unmöglich gemacht wird schützende Organismen zu verwenden.
Das Addon selber ist mehrsprachig, deutsch wird automatisch erkannt und verwendet. Und ob man dem Entwickler eines kostenlosen Add-Ons zusätzlich noch zumuten kann, die Webseite mehrsprachig zu erstellen sei mal dahingestellt. Irgendwo muss man auch mal die Kirche im Dorf lassen, auch wenn das natürlich für einzelne nachteilig ist. Die Entwicklerfirma (ja, Noscript wird von einer Firma nebenher weiterentwickelt!) sitzt in Italien, da ist es doch schon mal freundlich das die Seite auf englisch und nicht italienisch erstellt wurde. Und die Anleitung im WIKI ist ausreichend für die Konfiguration des Addons und verlinkt in vielen Fällen auch auf eine deutsche Beschreibung der Sicherheitsprobleme (z.B: bei XSS ein verweis auf http://de.wikipedia.org/wiki/Cross-Site_Scripting)
Du hast richtig gelegen, auf Firefox Wiki gibt es eine Erläuterung zu "No Script", hatte sie durch Schreibfehler (Scribt statt Script) nicht gefunden. Durch Deinen Hinweis habe ich nochmal gründlicher nachgesehen und erst über Google mal das Programm geholt und dann auch auf FFWiki die Ausführung in deutsch gelesen. Es liegt oft an kleinen Fehlern die man selber begeht.
Danke für die Hinweise.
Hallo Bergi,
ich kann fest schlafen, wenn Google, Microsoft und meine Internetsec, in meinem PC schnüffeln und alles melden. Google kann jeder kostenlos nutzen, dafür will Google einige Daten.
Der ganze Datenschuzmist geht mir auf die Nerven. PC zeitschriften bestehen zu 90 Prozent aus Datenschutz. Das Verbraucherschutzministerium, ist auch auf diesem Tripp. Die sollen erstmal dafür sorgen, dass die Kosten, oben auf der Seite stehen.
Ist mangelhafter Datenschutz inzwischen gefährlicher als Rattengift?
schon im Februar berichteten golem und heise darüber und auch hier gab es schon Threads dazu. Interessant dabei ist, dass sich seit damals die Datenbasis bei Panopticlick von 470000 auf fast 1 Mio Tests annähernd verdoppelt hat.
Bei aktiviertem JavaScript war schon damals mein Browser allein in Bezug auf Plugins und Fonts "unique". Schlimmer - daran hat sich bis jetzt nichts geändert. Und fasst man die jeweiligen Ergebnisse sowohl für Plugins als auch für Fonts als Wahrscheinlichkeiten auf (die vermutlich in weiten Bereichen unabhängig voneinander sind), so ergibt sich durch Multiplikation wohl schon jetzt für die meisten User ein bis in alle Ewigkeit einmaliger Fingerprint...
@Olaf
Entsprechende Kontexte, wie Facebook und Google-Dienste, Ebay usw., die solche Fingerprints deanonymisieren können, gibt es zu Genüge. Und genau die sind ja nun mal unersättlich im Sammeln und Erstellen von Profilen aller Art - schwunghafter Handel inbegriffen...
(NoScript ist eine gute Wahl)
Panik in unseren politischen Breiten ist sicher unangebracht und ohne JavaScript sieht es ja auch ganz anders aus. Aber man braucht nicht viel Fantasie, um sich vorzustellen, dass die unnötige Geschwätzigkeit der Browser in manchen Gegenden der Welt irgendwann Leib und Leben kosten kann...
Entsprechende Kontexte, wie Facebook und Google-Dienste, Ebay usw., die solche Fingerprints deanonymisieren können, gibt es zu Genüge.
In der Theorie schön und gut - nur was bedeutet das konkret?
Bei ebay bin ich schon ab und zu aktiv. Ebay hat meine kompletten Adress- und Kontodaten, kennt also meine reale Identität, plus meinen Browser und Betriebssystem, mit Hilfe von Javascript vielleicht noch meine Bildschirmauflösung und andere wenige aufregende Belanglosigkeiten.
Und nu'?
Irgendwie komme ich bei all diesen Überlegungen immer an einen Punkt, wo es nicht weitergeht. Wäre es für ebay nicht viel interessanter zu analyiseren, dass ich dort viel stärker als Verkäufer denn als Käufer engagiert bin, was ich dort kaufe und vor allem verkaufe? Ist das in Verbindung mit meiner Wohnadresse nicht viel aussagekräftiger als die Kombination von Browser plus Betriebssystem plus 1680 x 1050 Pixel? ...und letzteres könnte ich mit Hilfe von NoScript auch noch zu Geschichte machen.
sicher, Ebay weiß ohnehin, was man kauft und verkauft und sonst so treibt - allerdings nur, wenn man gerade angemeldet ist. Soweit auch ok. Nur, durch das Leck in unseren Browsern, könnte Ebay sich halt auch ausgiebig über unsere Interessen informieren, wenn wir eigentlich nur anonym zu Besuch sein wollen. Gleiches gilt natürlich für Amazon, Google, Foren, Blogs und und und... Nur den Cookie zu verbieten reicht halt nicht mehr. Im wirklichen Buchladen möchte ich den Kunden sehen, der damit einverstanden wäre, würde man ihm einen Angestellten zur Seite stellen, der bei Eintritt den Ausweis kopiert und geduldig notiert, zu welchem Buch er greift und auf welcher Seite er liest...
Und das Zusammenführen solcher vermeintlich anonym hinterlassenen Spuren erlaubt halt umfassende Einblicke in politische Interessen, religiöse Ausrichtung, sexuelle Vorlieben und vieles mehr. Einmal im Besitz solcher Fingerprints mit voller Identität erlaubt gerade staatlichen Stellen instantane Identifizierung über Ländergrenzen hinweg ohne Rechtshilfe und den Kram. Und gerade diese Einrichtungen besitzen in Ländern mit laxer Gesetzeslage weitreichende Kompetenzen...
Konkret bedeutet es also, mit JavaScript ist auch nur der Hauch von Anonymität im Internet endgültig eine Illusion. Nicht mehr, aber auch nicht weniger. Jeder kann es damit halten, wie er will. Nur wissen sollten es alle! Genau deshalb finde ich es notwendig, dass es Leute gibt, die sich mit solch scheinbaren "Banalitäten" beschäftigen...
Nur, durch das Leck in unseren Browsern, könnte Ebay sich halt auch ausgiebig über unsere Interessen informieren,
Das Leck in unseren Browsern verrät aber nicht unsere politische oder religiöse Einstellung o.dgl., sondern technische Einzelheiten wie Bildschirmauflösung etc. pp. Was ich sonst noch für Websites aufrufe, bekommt ebay ja nicht mitgeteilt.
Im übrigen wird die Gefährlichkeit von Cookies gerne überschätzt - Cookies sind lokal(!) auf meinem Rechner gespeichert und beeinflussen die Art und Weise, wie eine Website dargestellt wird oder nehmen eine automatische Anmeldung vor. Das könnte ich genau so gut per Hand erledigen, ist nur umständlicher, im Ergebnis jedoch das Gleiche.
@ABatC, du hast recht, bei den sozialen Netzwerken ist das natürlich etwas ganz anderes, dort ist man ja namentlich registriert. Deswegen nutze ich diese Art Dienste auch nicht, mit Ausnahme von Xing, und da bin ich auch nur selten aktiv und überlege mir immer sehr genau, was ich tue.
Vielleicht habe ich mich missverständlich ausgedrückt. Ein User der bei einem Dienstleister namentlich bekannt ist, weil Kunde, hinterlässt diesen Fingerprint quasi beim Anmelden automatisch. Fertig verknüpft mit der korrekten Identität.
Fortan reicht lediglich der Besuch dieser Site, z.B. Ebay, auch ohne Anmeldung, um den Besucher weitgehend eindeutig zu identifizieren.
Und Preis-Recherchen verraten halt weit mehr als nur Bildschirmauflösung etc, denn diese technischen Einzelheiten sind lediglich Teil des Fingerprints und in der Tat wertlos. Es geht um die Identifizierung - ein Hashcode des Browsers sozusagen...
Und welche Sites du sonst noch so aufrufst, siehst du hier:
weil Kunde, hinterlässt diesen Fingerprint quasi beim Anmelden automatisch. Fertig verknüpft mit der korrekten Identität.
Okay, die Vorstellung ist in der Tat nicht angenehm, dass ebay und Amazon mich - wenn sie wollten - auch ohne meine Anmeldung schon richtig identifizieren könnten. Punkt für dich.
Noch beunruhigender finde ich deinen Heise-Link zum Thema "History Stealing" - dass lokale Daten von meinem Rechner (Browserverlauf) von außen auslesbar sind, und das teilweise sogar ohne Einsatz von Javascript, hatte ich nicht gewusst.