Zeig mir deine Schriftarten und ich sage dir, wer du bist

Einzigartig wie ein Fingerabdruck soll die Methode sein. Fast zumindest: Auch wer in seinem Browser die Cookies abschaltet, hinterlässt beim Surfen Spuren, die es Website-Betreibern ermöglichen, Nutzer nahezu eindeutig zu identifizieren, zu tracken und über verschiedene Websites hinweg zu verfolgen. Über dieses sogenannte Browser Fingerprinting schreibt Henning Tillmann gerade seine Diplomarbeit. Auf der re:publica hat er erste Ergebnisse präsentiert.

Beim Browser Fingerprinting fragen Websites eine Reihe an Systeminformationen und -einstellungen ab, wie Browser-Name und -Version, Bildschirm-Auflösung, Zeitzone, installierte Schriftarten, Browser-Plugins und deren Versionsnummern. Zum Teil sendet der Browser diese Informationen bei jedem Seitenaufruf automatisch an den Server, zum Teil lassen sie sich per JavaScript oder Flash gezielt abfragen. Nimmt man all diese Informationen zusammen, ergibt sich daraus eine Konfigurationskombination, die in den meisten Fällen einzigartig ist.

Rund 17.000 Besucher haben innerhalb eines Monats Henning Tillmanns Tracking-Testseite aufgerufen und den Fingerprint ihres Rechners erstellen lassen. In 92,6 Prozent der Fälle ließen sich die Fingerprints eindeutig einem einzigen Besucher zuordnen. Je individueller eine Rechner-Konfiguration, desto wahrscheinlicher, dass es niemand anderen mit den gleichen Einstellungen gibt.

Wegen der großen Eindeutigkeit wird das Browser Fingerprinting beim Erheben von Besucherstatistiken zur echten Alternative zur Cookie-Methode. Im Gegensatz zu der müssen beim Fingerprint auch keine Dateien auf dem getrackten Computer gespeichert werden. Das macht es auch schwerer nachzuvollziehen, ob und wo die Methode schon eingesetzt wird. Jemand aus dem Publikum merkte nur an, Browser Fingerprinting komme schon auf vielen Websites zum Einsatz.

Unheimlich wird es dann, wenn Browser Fingerprinting in Diensten angewendet wird, die wiederum auf mehreren Websites integriert sind – beispielsweise bei Werbe-Hostern oder in den Share-Buttons der Sozialen Netzwerke. Würde Facebook etwa bei seinem über’s ganze Web verstreuten Like-Button die Fingerprint-Technik einbauen (wenn das nicht sowieso schon der Fall ist), bekäme Facebook den Aufruf jeder likebaren Seite mit, selbst wenn man sich auf Facebook ausgeloggt und seine Cookies ausgeschaltet hat.

Henning Tillmann erklärte das Dilemma, vor dem man steht, wenn man sich vor Browser Fingerprinting schützen möchte: Wer per Browser-Plugins das Ausliefern einzelner System-Informationen unterdrückt, hebt sich mit einem solchen Plugin auch wieder von der Masse ab und macht sich leichter zu identifizieren. Im Zweifelsfall hilft wohl nur ein jungfräulicher Rechner, an dem keinerlei Einstellungen verändert wurden.

Update, 20. Oktober 2013:

Henning Tillmann hat seine fertige Diplomarbeit nun veröffentlicht und die zentralen Ergebnisse zusammengefasst.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.