Wir Internetsurfer sind beliebt. Und wir werden beim Surfen beobachtet. Die Methoden zum Beobachten werden immer ausgereifter. Früher waren es nur Cookies, mit denen Webseitenbetreiber uns eindeutig identifizieren konnten. Doch Cookies kann man einfach löschen oder blockieren. Daher hat sich die Werbe- und Trackingindustrie weitaus fiesere Methoden ausgedacht, gegen die man sich kaum noch wehren kann. Die neueste Waffe: Canvas Fingerprinting.
Nicht löschbare Cookies
Canvas Fingerprinting sind praktisch nicht löschbare Cookies, gegen die es derzeit keine oder nur extrem aufwändige Gegenmittel gibt. Vor allem die Werbeindustrie ist an solchen Trackingmethoden interessiert, um uns beim Surfen unbemerkt beobachten und Verhaltensprofile anlegen zu können. Vor allem mit dem Ziel, immer die passende, auf mich zugeschnittene Werbung zeigen zu können.
Angefangen hat die Suche nach einem blockierbaren Cookie-Ersatz vor zwei Jahren mit dem sogenannten Fingerprinting. Der Trick: Jeder Browser sendet unzählige Informationen aus, etwa auf welchem System sie laufen, welche Plugins und Schriftarten installiert sind. Dutzende solcher Merkmale werden von jedem Browser ausgesendet. Und da fast jeder Rechner und jeder Browser unterschiedlich ist, lässt sich aus diesen Merkmalen ganz prima ein digitaler Fingerabdruck ableiten. Was der eigene Browser gerade an Informationen ausspuckt, kann man übrigens selbst testen, auf der Seite panopticlick.eff.org.
Nachteil (aus Sicht der Werbeindustrie): Sobald sich das System oder der Browser ändert und eine neue Browserversion oder weitere Schriften installiert werden, oder ein neuer Monitor angeschlossen wird, ändert sich der Fingerabdruck und man erhält einen neuen Fingerprint.
Canvas Fingerprinting – Die fieseste Art des Trackings
Einen Schritt weiter das Cancas Fingerprinting, das sich die Grafikfunktion HTML5 Canvas zu Nutze macht, die alle modernen Browser unterstüzten und die sich nicht abschalten lässt. HTML5 Canvas wird eigentlich dazu genutzt, kleine Grafiken zu zeichnen. Und genau das nutzt die neue Trackingmethode. Über einen HTML5-Canvas-Befehl wird eine kleine Grafik gezeichnet, die auf jedem Rechner anders aussieht, da sie ebenfalls von vielen Faktoren wie Browserversion, Betriebssystem und Dutzenden weiteren Merkmalen abhängt. Jeder Nutzer erzeugt praktisch eine andere Grafik (die mit normalen Mitteln nicht zu sehen ist) und ist darüber eindeutig identifizierbar.
Die Seite www.browserleaks.com/canvas demonstriert sehr gut, wie das Ganz funktioniert und wie der Fingerabdruck des eigenen Rechners aussieht. Einen weiteren guten Fingerprinting-Test gibt’s auf der Seite fingerprint.pet-portal.eu.
Entwickelt wurde das Prinzip des unsichtbaren Trackings von Wissenschaftlern in Princeton und der KU Leuven Universität in Belgien. Die Studie dazu finden Sie hier.
Wer nutzt die neuen unlöschbaren Supercookies?
Die Webseite Pro Publica hat eine Reihe von Webseiten identifiziert, die die neuen Canvas Fingerprinting Cookies bereits einsetzen, darunter das Weiße Haus, T-Online, YouPorn oder die Browser-Erweiterung AddThis. Eine ausführliche Liste aller Webseiten, die Canvas Fingerprinting einsetzen, findet man hier.
Wie kann man sich gegen Canvas Fingerprint schützen?
Klassische Werbeblocker und Ad-Blocker sind gegen die Methoden des Canvas Fingerprinting machtlos. Es gibt allerdings verschiedene Wege, um sich gegen die Super-Cookies zu schützen. Der Schutz funktioniert zwar, ist allerdings teilweise recht aufwändig. Folgende Schutzmethoden stehen zur Verfügung:
– Der TOR-Browser blendet einen Hinweis ein, sobald eine Webseite versucht, per HTML5 Canvas einen Fingerabdruck anzulegen und blockiert das Anlegen des Canvas Fingerprints.
– Die experimentelle Chrome-Erweiterung Chameleon informiert beim Surfen ebenfalls über den Versuch, einen Canvas Fingerprint anzulegen, blockiert ihn aber nicht.
– Mit Browser-Erweiterungen wie NoScript kann man gezielt JavaScript und damit das Anlegen der Canvas-Cookies blockieren. Allerdings ist es recht mühsam, immer einzeln zu entscheiden, welche JavaScripts man zulässt und welche nicht.
4 Antworten auf „Canvas Fingerprinting: Die Super-Cookies, denen man (fast) nicht entgehen kann – und wie man sich doch dagegen schützt“
Technisch ist es ja korrekt, dass AddThis und Ligatus dafür verantwortlich sind. Aber wenn die Facebook- und Twitter-Buttons von AddThis & Co. z.B. auf T-Online eingebaut sind, spielt es für Otto-Normal-Surfer keine Rolle, welche externen Dienstleister-Tools in die Webseite verwoben sind – das Zeug kommt dann von T-Online. Ich sehe das so wie bei einem Rückruf eines Autos: Wenn Toyota mal wieder einen Rückruf startet, weil ein Bauteil defekt ist, ist technisch zwar der Bauteilhersteller verantwortlich – in der öffentlichen Warnehmung bleibt aber Toyota der Übeltäter und bekommt den Schwarzen Peter.
Zum Opt-Out: Bei den Methoden, die AddThis & Co. an den Tag legen, tendiert mein Vertrauen in die Opt-Out-Variante (ganz waghalsig ;)) gegen Null. Das ist meine persönliche Meinung. Dass es andere gibt, ist ok. Und gut so.
Ich bin etwas verwundert darüber, dass sie die offensichtlich falsche Darstellung als „egal“ abtun. Denn die Behauptung „eine Reihe von Webseiten […], die die neuen Canvas Fingerprinting Cookies bereits einsetzen“ ist nicht haltbar. Sie suggerieren damit, dass die genannten Unternehmen ihre Besucher tracken wollen.
Stattdessen nennen Sie „AddThis“ neben Telekom und YouPorn in der Liste der Übeltäter, obwohl ausschließlich dieser Dienst dafür verantwortlich ist (darüberhinaus ist „AddThis“ vorrangig keine „Browser-Erweiterung„, sondern ein Bookmarking-Tool, das auf Websites eingesetzt wird).
Zum Opt-Out: Zwei Ihrer drei vorgestellten Lösungen können Canvas Fingerprinting entweder „nicht blockieren“ oder sind „recht mühsam“. Die offizielle Opt-Out-Methode als „ein[en] Witz“ abzutun und trotz Hinweis unterwähnt zu lassen, halte ich für recht lächerlich und deutet darauf hin, dass Sie als Autor schlecht mit Kritik umgehen können.
Ob das Canvas Fingerprinting jetzt direkt von den T-Online-Servern oder den dort eingebundenen Werbeflächen stammt, ist für T-Online & Co. Nutzer egal: das Tracking kommt (oder kam) über die T-Online-Seite. T-Online selbst ist das Ganze jedenfalls ziemlich peinlich und sie versuchen das abzustellen.
Und der Opt-Out ist ja wohl ein Witz. Ob und wie sich AddThis daran hält, ist mehr als zweifelhaft.
Dieser Artikel ist falsch.
Nicht Das Weiße Haus, YouPorn oder die Telekom nutzen Canvas Fingerprinting, sondern einzig das Unternehmen AddThis experimentiert damit. Viele Webseiten-Betreiber haben daher umgehend AddThis-Widgets entfernt.
Außerdem sollte man erwähnen, dass es ein Opt-Out für diesen „Super-Cookie“ gibt: http://www.addthis.com/privacy/opt-out
Wer korrekte Infos dazu lesen möchte, kann z.B. hier vorbeischauen: http://www.spiegel.de/netzwelt/web/canvas-fingerprinting-macht-internetnutzung-nachverfolgbar-a-982280.html