Canvas Fingerprinting

Screenshot: ft

Viele Firefox-Anwender warten bereits gespannt auf Firefox 57, der am 14. November einen technisch runderneuerten Browser bringt. doch hier und heute geht es bereits um Firefox 58, der am 16. Januar 2018 erwartet wird. Mit dieser Ausgabe will Mozilla den Anwender besser vor Tracking durch Canvas Fingerprinting schützen. Dabei geht es darum, Besucher von Webseiten ohne den Einsatz von Cookies eindeutig identifizieren zu können. Diese Art des Tracking ist wesentlich schwieriger zu blockieren als das Tracking mit Cookies.

Wie funktioniert Canvas Fingerprinting?

Canvas Fingerprinting, auch Supercookie genannt, macht sich den Umstand zunutze, dass das Rendern von Canvas-Elementen je nach Betriebssystem, verwendeter Grafikkarte und weiteren Merkmalen in jedem Browser kleine Unterschiede in der Darstellung erzeugt. Unternehmen wie AddThis, die Canvas Fingerprinting für Online-Werbe-Agenturen betreiben, lassen den Browser beim Besuch von Webseiten für den Anwender unmerklich auf einem unsichtbaren Canvas-Element  ein kleines Bild oder eine Wortkombination rendern. Das Aussehen dieses Bildes sagt viel über den Anwender vor dem Bildschirm aus.

So können  Betriebssystem, Bildschirmauflösung, eingestellte Sprache, installierte Schriftarten und Erweiterungen sowie der Browser selbst in der genauen Version identifiziert werden. Aus dem Ergebnis dieses Prozesses wird ein Hashwert berechnet, der in eine ID einfliesst. Auf der nächsten Seite, die  Canvas Fingerprinting einsetzt, wird der Surfer somit wiedererkannt. So ergibt sich ein Profil des Surfverhaltens, dass es Unternehmen ermöglicht, gezielte Werbung zu verteilen.

Schwer zu stoppen

Canvas Fingerprinting ist schwer zu stoppen. Je individueller der Browser eingerichtet ist, umso eindeutiger ist er auch zu identifizieren. Die Electronic Frontier Foundation (EFF) hat das Canvas-Fingerprinting-Schutzprogramm Privacy Badger entwickelt, das auch in Firefox als Erweiterung zur Verfügung steht. Auch Adblock Plus hat sich auf die Fahnen geschrieben, diese Art des Tracking zu stoppen. Für Firefox und Chrome ist die Erweiterung Disconnect verfügbar, die ebenfalls diese Art des Trackings verhindern soll. Auf deren Listen basiert die jetzt in Firefox integrierte Schutzfunktion. Bisher ist außer dem Tor-Browser und Brave, dem Browser-Projekt des ehemaligen Mozilla-CEO Brendan Eich, allerdings kein Browser in der Lage, einen Schutz vor Canvas Fingerprinting ohne den Einsatz von Erweiterungen zu gewährleisten.

Canvas Fingerprinting

In den Einstellungen wird das Tracking-Verhalten festgelegt.

Blockieren ohne Addons

Das will Mozilla mit Firefox 58 ändern, wie die Sicherheitsforscher von Sophos jetzt berichten. Da der Torbrowser auf Firefox-ESR basiert, ist es sinnvoll, diese Funktion allen Firefox-Anwendern zur Verfügung zu stellen. Bereits vor rund einem Jahr wurde mit Firefox 52 die wenig von Entwicklern, dafür um so mehr von der Tracking-Mafia verwendete Battery API entfernt. Jetzt wird die Nutzung der Canvas-Funktion durch Webseiten an ein Opt-in gekoppelt, indem der Browser Fingerprinting-Versuche erkennt und dem Anwender die Wahl lässt, diese zu blockieren oder zuzulassen. Da die Erkennung nicht zu 100 Prozent korrekt ist, gibt es auch keine generelle Option zum Abschalten von Canvas-Funktionen.

 

Verwandte Themen

Mozilla verschärft das Anti-Tracking
views 280
Bild: Mozilla | Lizenz: CC-By-3.0 Das Tracking beim Surfen im Internet missachtet nicht nur unsere Privatsphäre, es ermöglicht das Erst...
Firefox 58: Quantum +1
views 59
Screenshot: ft Heute erscheint Firefox 58. Hatte Mozilla mit Firefox 57 Quantum die Pflicht abgeliefert, um im umkämpften Browsermarkt d...

Beitrag kommentieren

Alle Kommentare
  • OSBN

    OSBN

    31.10.2017, 12:02 Uhr

    Firefox 58 verbessert Schutz gegen Canvas Fingerprinting: Viele Firefox-Anwender warten bereits gespannt auf…… https://t.co/pKHRFpj1Zt

  • Jutta

    31.10.2017, 17:19 Uhr

    “Bisher ist außer dem Tor-Browser allerdings kein Browser in der Lage, einen Schutz vor Canvas Fingerprinting ohne den Einsatz von Erweiterungen zu gewährleisten.”

    Ich glaube, da fehlt ein Wort kein quelloffener Browser. Denn beim Brave gehört “Schutz vor Fingerprintin” als eine der vier Schutzmöglichkeiten dazu, die nicht separat erst installiert werden müssen.
    Brave blockiert hier auf linuxnews beispielsweise aktuell 15 Skripte.

    • Ferdinand Thommes

      31.10.2017, 18:19 Uhr

      Stimmt, den hab ich vergessen. Dabei nutz ich den selbst unter Android. Danke für die Richtigstellung.

  • struppi

    02.11.2017, 06:58 Uhr

    Als empfehlenswertes Plugin, fehlt unbedingt uMatrix. Mit dem alle Tracking Methoden zuverlässig geblockt werden können. https://github.com/gorhill/uMatrix

    (Die disconnect Seite wird z.b. damit nicht angezeigt, weil dort von allen möglichen Fremdquellen JS Code nachgeladen wird, ohne den die Seite nicht Funktionsfähig ist. Meines erachtens nicht sonderlich vertrauenserweckend, für eine Seite die Blocksoftware anbietet.)

    Ich habe aber z.b. auch den Firefox den Rücken gekehrt, als die die Cookieverwaltung entfernt und gleichzeitig damit meine über Jahre gepflegte White-/Blacklist gelöscht haben. Ich traue Mozilla was das alles angeht nicht mehr. Sie lassen nicht dem Nutzer die Möglichkeit zu entscheiden, wie er sich schützen will und entfernen Funktionen, die sie für falsch halten, um dann Jahre später Dinge, die sie für richtig halten, in Kooperation mit Dienstanbietern – die auch tracken – zu integrieren. Da stimmt etwas nicht.

    https://github.com/mozilla/addons-frontend/issues/2785
    https://bugzilla.mozilla.org/show_bug.cgi?id=1406647