Blog

Panopticlick: Wenn der Browser mehr verrät, als IP-Adresse und Cookies

Thema: Internet, IT, Unternehmen, 29.01.2010

Panopticlick

Vor Kurzem hatte die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) ein wissenschaftliches Projekt namens “Panopticlick” vorgestellt. Hierbei handelt es sich um ein Verfahren, das den vom User verwendeten Browser untersucht, um dann Rückschlüsse auf seine Identität zu ziehen. Während für gewöhnlich hierzu die IP-Adresse oder Browser-Cookies verwendet werden (die der User bei Bedarf über Proxy-Server verschleiern beziehungsweise deaktivieren kann), macht sich “Panopticlick” diejenigen Informationen zunutze, die der Browser selbst liefert – durch seinen digitalen Fingerabdruck sozusagen.

In Prinzip funktioniert diese Art der Identifizierung sehr einfach: Jeder User passt den verwendeten Browser seinen eigenen Wünschen gemäß an. Er installiert Plug-ins, Add-Ons, verwendet ausgewählte Schriftarten und so weiter. Diese individuellen Einstellungen unterscheiden ihn natürlich von denen anderer User. “Panopticlick” kann diese Daten nun bei jedem Web-Besuch auslesen, und nicht nur diese. Zusammen mit den standardmäßig vom Browser verschickten Informationen im sogenannten User Agent (Name des Browsers und dessen Versionsnummer sowie das Betriebssystem, nachfolgend ein Screenshot meines User Agents ) lässt sich anhand einer mathematischen Methode (Entropie) die “Einzigartigkeit” eine Users errechnen. Und je einzigartiger er ist, desto sicherer lässt er sich identifizieren (siehe Bild oben). 

User Agent

Ich bin mir sicher, dass es auch hier die Möglichkeit gibt, unter dem Radar zu fliegen, sich also für diese Form der “Überwachung” unsichtbar zu machen (etwa indem als man Verwender von Microsoft-Produkten ein wenig in der Windows-Registry rumschraubt – wer es besser weiß, kann es gerne in den Kommentaren posten). Der Otto-Normal-User wird dies aber kaum tun beziehungsweise zu bewerkstelligen wissen.

Umso wichtiger finde ich daher einen Beschluss, der vor einigen Tagen in den USA gefasst wurde, in den Medien aber kaum Beachtung fand und auch hier auf dem Blog wenig Resonanz erhielt. Es handelt sich dabei um die Einführung eines Icons (“Power I“), das zukünftig Online-Ads angefügt werden soll. Hierdurch sollen große Unternehmen wie Google oder Microsoft dazu gezwungen werden, offenzulegen, wie sie an die Daten der User gelangen, auf deren Basis sie ihm die jeweilige Werbung präsentieren. Wird dieser Beschluss in letzter Konsequenz durchgeführt, müsste jeder User auch über jene Daten informiert werden, die auf oben beschriebene Weise gewonnen wurden. Dies würde nicht nur für Transparenz sorgen, sondern möglicherweise auch das Gespür der Menschen dafür sensibilisieren, wem wie sie wo welche Daten von sich offenbaren.

Die Zahl jener User steigt, die sich nicht nur dann Sorgen um den Datenschutz machen, wenn mal wieder ein neues Leck bei Facebook publik wird (Panne im neuen Dashboard sorgt dafür, dass die letzten Applikationen, die meine “Freunde” genutzt haben, für mich einsehbar sind, ob die es wollen oder nicht). Ein guter Hinweis darauf ist die Existenz der Suchmaschine Startpage, die ihren Usern ein anonymes Surf-Erlebnis verspricht, ohne Speicherung ihrer Daten oder des Surfverhaltens. Die Nachfrage ist also offenbar da. Inwieweit Startpage sein Versprechen aber halten kann oder will, steht auf einem anderen Blatt.

(Marek Hoffmann)


      

Artikelzusatzinfos
3. Artikelstatistik:
· read: 10733 · today: 3 · last: 12. February 2012

Trackback URI | Comments RSS

15 Kommentare zu “ Panopticlick: Wenn der Browser mehr verrät, als IP-Adresse und Cookies ”

  1. #1 runner [www] schrieb am 29.01.2010, 11:35:

    müsste mich eigentlich beunruhigen – tut es aber nicht :D

    sollen sie doch sammeln, die frage ist natürlich wer diese daten sammelt.

    bleibt ein spannendes thema.

  2. #2 David Müller [www] schrieb am 29.01.2010, 11:36:

    Den Useragent kann man ganz leicht mit diversen FFx-Plugins individuell nach belieben einstellen, da ist kein großes Registry-Gebastel nötig.

  3. #3 kehrseite [www] schrieb am 29.01.2010, 12:51:

    aha verstehe …. sowas wie http://didyouwatchporn.com/ :D

  4. #4 Anonymous schrieb am 29.01.2010, 13:23:

    Danke fuer den Beitrag, sehr aufschlussreich.

    @kehrseite: Also funktioniert der Private Browsing Mode bei FF :)

  5. #5 Marek Hoffmann schrieb am 29.01.2010, 13:24:

    @ kehrseite: Ja, so ähnlich? Ist dein Link jetzt einer von diesen jenen, auf welchen ich besser nicht klicken sollte, weil er mich und meine Vorlieben sonst verrät? ;-)

  6. #6 Robin L schrieb am 29.01.2010, 13:57:

    Konkret: UserAgentSwitcher für Firefox – und wenn Du willst bist Du ein Googlebot ;-), oder ein Safari unter MacOs, Sekunden später ein Yahooslurp – und als Abrundung ein InternetExplorer5 unter Win95…

    Alles ist möglich…

  7. #7 MarMuc schrieb am 29.01.2010, 14:06:

    @Autor: Link zu Startpage falsch gesetzt ;-)

    Google und Co. auszukommen ist heutzutage ja sowieso fast unmöglich ;-)

    Grüße

  8. #8 Marek Hoffmann schrieb am 29.01.2010, 14:09:

    @MarMuc: Yepp, Danke! Hab’s geändert. :-)

  9. #9 donjermas [www] schrieb am 29.01.2010, 14:58:

    @ kehrseite:
    zuverlässig ist das verfahren, was die auf der seite nutzen scheinbar nicht. :)

    @ Robin L:
    danke für den tipp. hab ich mir gleich mal installiert. :)

  10. #10 Hendrik schrieb am 29.01.2010, 15:36:

    mein feedreader hat interessanterweise eine völlig einzigartige signatur, während mein firefox eher einer von vielen ist.
    auch das ist also ein Punkt den man bedenken sollte.

  11. #11 mî†õm² [www] schrieb am 29.01.2010, 16:55:

    FF 3.5 mit aktivem NoScript in Win 7: 1 / ca. 100.000 hat die selben einstellungen.

    FF 3.7 mit aktivem NoScript in XP (virtuell): unique.

    Safari 4.0 in iPohne OS 3_1: unique, browser plugin details füllen 3 / 5 einer bildschirmbreite.

    Opera 9.80 in Win 7: unique, browser plugin details füllen 7,5 fullscreen-höhen à 1024 pixel bei standardschriftgröße. Opera plaudert dabei alles mögliche aus; am liebsten redet er über iTunes, Quicktime, Apple & VLC.

    das video der keynote des iPad (oder wie auch immer das ding eventuell bald heißt) läßt sich in Opera nicht betrachten. vielleicht habe ich noch nicht genug Quicktime installiert.

    CU TOM

  12. #12 The Gearwheel [www] schrieb am 30.01.2010, 17:58:

    Panopticlick: Anonym im Internet?…

    Ist mein Browser (also schlussendlich ich) im Internet eindeutig identifizierbar? Testen Sie es!……

  13. #13 Tweets die Panopticlick: Wenn der Browser mehr verrät, als IP-Adresse und Cookies | Basic Thinking Blog erwähnt — Topsy.com [www] schrieb am 31.01.2010, 08:55:

    [...] Dieser Eintrag wurde auf Twitter von Basic Thinking, Herr MaschinenMensch, Sandra Herbst, Marek, ericreiche und anderen erwähnt. ericreiche sagte: RT @basicthinking: Panopticlick: Wenn der Browser mehr verrät, als IP-Adresse und Cookies – http://bit.ly/doMF8Q (hlu) [...]

  14. #14 Browser Fingerabdruck – gefährlich? | Gunnars Blog [www] schrieb am 13.02.2010, 16:16:

    [...] Noch mehr Infos: http://www.basicthinking.de/bl.....p-adress... [...]

  15. #15 Mal wieder: Piwik und anonymisierte IPs – Braekling.de [www] schrieb am 22.02.2010, 01:57:

    [...] die Frage, was man als “ausreichende Nullung” versteht. Spätestens seit Panopticlick (Erläterung bei BasicThinking) wissen wir, dass ein Benutzer auch ohne IP nachverfolgt werden kann. Ohne rechtliche Absicherung, [...]


Dein Kommentar?

(Eingabe von Name, Mail und Webadresse ist freiwillig)