Canvas Fingerprinting: Die Super-Cookies, denen man (fast) nicht entgehen kann – und wie man sich doch dagegen schützt

Wir Internetsurfer sind beliebt. Und wir werden beim Surfen beobachtet. Die Methoden zum Beobachten werden immer ausgereifter. Früher waren es nur Cookies, mit denen Webseitenbetreiber uns eindeutig identifizieren konnten. Doch Cookies kann man einfach löschen oder blockieren. Daher hat sich die Werbe- und Trackingindustrie weitaus fiesere Methoden ausgedacht, gegen die man sich kaum noch wehren kann. Die neueste Waffe: Canvas Fingerprinting.

Nicht löschbare Cookies

Canvas Fingerprinting sind praktisch nicht löschbare Cookies, gegen die es derzeit keine oder nur extrem aufwändige Gegenmittel gibt. Vor allem die Werbeindustrie ist an solchen Trackingmethoden interessiert, um uns beim Surfen unbemerkt beobachten und Verhaltensprofile anlegen zu können. Vor allem mit dem Ziel, immer die passende, auf mich zugeschnittene Werbung zeigen zu können.

Angefangen hat die Suche nach einem blockierbaren Cookie-Ersatz vor zwei Jahren mit dem sogenannten Fingerprinting. Der Trick: Jeder Browser sendet unzählige Informationen aus, etwa auf welchem System sie laufen, welche Plugins und Schriftarten installiert sind. Dutzende solcher Merkmale werden von jedem Browser ausgesendet. Und da fast jeder Rechner und jeder Browser unterschiedlich ist, lässt sich aus diesen Merkmalen ganz prima ein digitaler Fingerabdruck ableiten. Was der eigene Browser gerade an Informationen ausspuckt, kann man übrigens selbst testen, auf der Seite panopticlick.eff.org.

Nachteil (aus Sicht der Werbeindustrie): Sobald sich das System oder der Browser ändert und eine neue Browserversion oder weitere Schriften installiert werden, oder ein neuer Monitor angeschlossen wird, ändert sich der Fingerabdruck und man erhält einen neuen Fingerprint.

Canvas Fingerprinting – Die fieseste Art des Trackings

Einen Schritt weiter das Cancas Fingerprinting, das sich die Grafikfunktion HTML5 Canvas zu Nutze macht, die alle modernen Browser unterstüzten und die sich nicht abschalten lässt. HTML5 Canvas wird eigentlich dazu genutzt, kleine Grafiken zu zeichnen. Und genau das nutzt die neue Trackingmethode. Über einen HTML5-Canvas-Befehl wird eine kleine Grafik gezeichnet, die auf jedem Rechner anders aussieht, da sie ebenfalls von vielen Faktoren wie Browserversion, Betriebssystem und Dutzenden weiteren Merkmalen abhängt. Jeder Nutzer erzeugt praktisch eine andere Grafik (die mit normalen Mitteln nicht zu sehen ist) und ist darüber eindeutig identifizierbar.

Die Seite www.browserleaks.com/canvas demonstriert sehr gut, wie das Ganz funktioniert und wie der Fingerabdruck des eigenen Rechners aussieht. Einen weiteren guten Fingerprinting-Test gibt’s auf der Seite fingerprint.pet-portal.eu.

canvas-fingerprinting-supercookies

Entwickelt wurde das Prinzip des unsichtbaren Trackings von Wissenschaftlern in Princeton und der KU Leuven Universität in Belgien. Die Studie dazu finden Sie hier.

Wer nutzt die neuen unlöschbaren Supercookies?

Die Webseite Pro Publica hat eine Reihe von Webseiten identifiziert, die die neuen Canvas Fingerprinting Cookies bereits einsetzen, darunter das Weiße Haus, T-Online, YouPorn oder die Browser-Erweiterung AddThis. Eine ausführliche Liste aller Webseiten, die Canvas Fingerprinting einsetzen, findet man hier.

Wie kann man sich gegen Canvas Fingerprint schützen?

Klassische Werbeblocker und Ad-Blocker sind gegen die Methoden des Canvas Fingerprinting machtlos. Es gibt allerdings verschiedene Wege, um sich gegen die Super-Cookies zu schützen. Der Schutz funktioniert zwar, ist allerdings teilweise recht aufwändig. Folgende Schutzmethoden stehen zur Verfügung:

– Der TOR-Browser blendet einen Hinweis ein, sobald eine Webseite versucht, per HTML5 Canvas einen Fingerabdruck anzulegen und blockiert das Anlegen des Canvas Fingerprints. Das Surfen mit dem TOR-Browser ist derzeit die einfachste Methode, um den Canvas-Fingerprinting-Cookies zu entgehen.

– Die experimentelle Chrome-Erweiterung Chameleon informiert beim Surfen ebenfalls über den Versuch, einen Canvas Fingerprint anzulegen, blockiert ihn aber nicht.

– Mit Browser-Erweiterungen wie NoScript kann man gezielt JavaScript und damit das Anlegen der Canvas-Cookies blockieren. Allerdings ist es recht mühsam, immer einzeln zu entscheiden, welche JavaScripts man zulässt und welche nicht.

Die mobile Version verlassen