Categories: BrowserWorkspace

Chrome verspricht mehr Schutz vor Tracking und Fingerprinting

Google will im Chrome-Browser neue Features für mehr Privatsphäre und Sicherheit unterstützen. Auf seiner Entwicklerkonferenz I/O kündigte der Suchkonzern an, künftig über Websites hinweg die Nutzer verfolgende Cookies einzuschränken und Fingerprinting zu erschweren. Ein Zeitplan für die Maßnahmen wurde nicht genannt, aber die Features sollen noch in diesem Jahr in Vorschauversionen implementiert werden.

Die entscheidende Änderung betrifft die Behandlung von Cookie-Dateien, die vielfach für das Tracking von Nutzern zum Einsatz kommen. Hier soll das Attribut SameSite für eine bessere Kontrolle sorgen, indem es die Situationen festlegt, in denen die Cookies einer Website geladen werden können. Das SameSite-Attribut „strict“ besagt beispielsweise, dass ein Cookie nur beim Besuch derselben Site ladbar ist. Die Attribute „lax“ oder „none“ hingegen werden auch das Laden von Cookies auf anderen Sites erlauben, also weiterhin als Cross-Site-Cookies fungieren.

Die Chrome-Entwickler wollen dafür sorgen, dass Website-Betreiber in Zukunft Cookies, die für sensible Zwecke wie die Anmeldung des Nutzers und auf die Website bezogene Einstellungen zum Einsatz kommen, mit einem strikten SameSite-Attribut versehen. Wenn diese siteübergreifenden Zugriff – und damit auch Tracking – erlauben wollen, müssen sie das explizit vorgeben. Mehr Einzelheiten dazu führt Web.dev aus.

„Diese Veränderung wird den Nutzern erlauben, alle Cookies dieser Art zu löschen, während die Cookies einer einzelnen Domain und damit ihre Anmeldung sowie Einstellungen erhalten bleiben“, heißt es dazu im Chromium Blog. „Es wird Browsern außerdem erlauben, klare Informationen darüber zu geben, welche Sites diese Cookies setzen, sodass Nutzer informierte Entscheidungen darüber treffen können, wie ihre Daten genutzt werden.“

Die Chrome-Entwickler hoffen gleichzeitig auf mehr Sicherheit, da die veränderte Behandlung von Cookies vor Cross-Site-Injection-Angriffen sowie Attacken wie Spectre und CSRF schützen könnte. Sie beabsichtigen darüber hinaus, Cross-Site-Cookies später nur noch über HTTPS-Verbindungen zuzulassen.

Google will außerdem aggressiver vor Fingerprinting schützen. Digitales Fingerprinting bezeichnet die Sammlung von Daten per Geräte-Fingerabdrücken. Darunter versteht man die Identifikation eines Nutzers für Werbezwecke ohne dessen Zutun, also selbst wenn dieser keine Cookies zulässt. Daten über Betriebssystem, Browserversion oder Displayauflösung allein sind zwar nicht geeignet, ein Gerät eindeutig zu identifizieren. Allerdings liefern sie einen Fingerabdruck, der in Kombination mit anderen Informationen die Identifikation eines Nutzers ermöglichen kann. Im Gegensatz zu Cookies lassen sich Geräte-Fingerabdrücke nicht so einfach unterbinden. Bestimmte Details über ein Gerät wie beispielsweise die Displayauflösung werden benötigt, um Websites an das Gerät anzupassen.

„Weil Fingerprinting weder transparent noch unter der Kontrolle des Nutzers ist, resultiert es in einem Tracking, das den Willen des Nutzers nicht respektiert“, begründen die Chrome-Entwickler die angestrebte schärfere Einschränkung von Fingerprinting über das Web. Dafür wollen sie die Möglichkeiten für passives Fingerprinting von Browsern verringern, um aktives Fingerprinting erkennen und in Echtzeit dagegen vorgehen zu können.

Auch Mozilla kündigte schon im April für Firefox 67 neue Schutzmechanismen gegenüber Tracking und Fingerprint-Verfolgung an. Der Firefox-Hersteller arbeitet dafür mit Disconnect zusammen, das eine Liste entsprechender Serveradressen erstellt, die Fingerabdruck-Skripte vertreiben. Disconnect bietet zudem Schutz vor diesen Bedrohungen in Form eines Add-Ons auch für Chrome.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago