Immer mehr Websites setzen neue Methoden ein, um das Verhalten der Nutzer nachzuverfolgen. Auf 5,5 Prozent der 100.000 weltweit meistbesuchten Seiten kommt das sogenannte Canvas Fingerprinting oder nicht minder hartnäckige Evercookies zum Einsatz, die sich anders als herkömmliche Cookies nicht einfach löschen lassen. Das hat eine Untersuchung der Universitäten Princeton (USA) und Löwen (Belgien) ergeben.
Alleine unter der Top-Level-Domain .de verfolgten im Untersuchungszeitraum vom 1. bis 5. Mai 2014 144 Websites Nutzer auf diese Weise – angefangen vom Naturschutzbund Deutschland e.V. (NABU) und der Tierschutzorganisation PETA über die Site des Autoherstellers Peugeot und den Webauftritten zahlreicher regionaler Tageszeitungen bis zu Serviceseiten wie IBAN-Rechner.de, MSN.de und dem Ticketverkäufer Eventim.
Den Forschern zufolge sind zwar 20 Provider beim Canvas Fingerprinting aktiv, 95 Prozent der nutzenden Websites lassen sich jedoch auf einen von ihnen zurückführen, nämlich Addthis.com. Außerdem ist nur noch der von der OnVista Group entwickelte und inzwischen zu Gruner + Jahr gehörende Dienst Ligatus hier nennenswert aktiv: Ihm sind 115 der insgesamt 5542 ermittelten Domains zuzuordnen.
Update 28. Juli 20:12: Bei in Deutschland betriebenen Webseiten, auf denen im Untersuchungszeitraum Skripte für Canvas Fingerprinting vom Anbieter Ligatus gefunden wurden, sollte dies inzwischen nicht mehr der Fall sein. Wie dieser gegenüber der Süddeutschen Zeitung erklärt hat, sei mit der Technik lediglich experimentiert worden, die Testphase aber inzwischen beendet.Update Ende
Canvas Fingerprinting wurde 2012 von Keaton Mowery und Hovav Shacham erstmals als Methode für das User-Tracking vorgeschlagen. Sie erläuterten, dass sich unter Ausnutzung der in modernen Browsern vorhandenen Canvas-API durch minimale Abweichungen im Rendering desselben Textes eine Art digitaler Fingerabdruck des Browsers erstellen lässt – und zwar in Sekundenbruchteilen und ohne dass der Nutzer sich dessen gewahr wird. Einmal so erfasst, lässt sich der Anwender bei jedem neuerlichen Besuch der Website eindeutig identifizieren.
Die zweite, zunehmend beliebter werdende Methode sind Evercookies: Aktuell setzen den Forschern zufolge 10 der 200 meistgenutzten Websites darauf. Sie entstehen aus der Kombination mehrerer Cookie-Arten und lassen sich aufgrund der mehrfachen Speicherung, die es ihnen erlaubt, sich zu rekonstruieren (daher auch die alternative Bezeichnung „Zombie-Cookies“), nur schwer löschen.
Als mögliche Gegenmaßnahmen diskutieren die Forscher von Princeton und Löwen in ihrem Bericht (PDF) Tools wie Ghostery, die einfach jeglichen Inhalt Dritter auf Webseiten blocken, sowie das Abschalten von Flash Cookies – was allerdings auch nur begrenzten Erfolg verspricht. Einige sogenannte Tracking-Vektoren lassen sich nämlich ihnen zufolge nicht oder nur mit Verlust wesentlicher Funktionen abschalten.
Ihrer Erfahrung nach ist der Tor-Browser der einzige, der erfolgreich vor Canvas Fingerprinting schützt: Er fragt jedesmal nach, ob das erlaubt, untersagt oder dieser Website für die Zukunft genehmigt werden soll. Gegen Third Party Cookies helfe das von der US-Bürgerrechtsorganisation EEF kürzlich bereitgestellte Privacy Badger. Von den Browser-Anbietern habe außer Mozilla in Ansätzen bisher keiner Bemühungen gestartet, gegen die neuen Tracking-Methoden etwas zu unternehmen.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
10 Kommentare zu Aggressive Methoden zum Nutzer-Tracking auf dem Vormarsch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Der Naturschutzbund Deutschland (NABU) verfolgt seine Nutzer nicht per Canvas Fingerprinting. Wie viele andere Site-Betreiber auch, haben wir AddThis vor längerem als Bookmarking-Dienst installiert. Da sich das inzwischen weitgehend überlebt hat, stand AddThis bereits auf der Bereinigungsliste für den anstehenden Relaunch unseres Auftrittes. Angesichts der aktuellen Entwicklungen haben wir AddThis nun vorzeitig entfernt.
Helge May, Teamleiter Medien des NABU
Hallo,
danke für Ihren Kommentar. Wie die Autoren des Berichts auf der auch im Artikel verlinkten Übersichtswebseite ( https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html ) erklären, werden dort alle Websites aufgeführt, auf denen zwischen 1. und 5. Mai 2014 Canvas-Fingerprinting-Skripte festgestellt wurden. Da wie Sie und ich wissen sich im Web ständig alles ändert, ist das natürlich eine Momentaufnahme. Auf diese Liste berufen wir uns im Artikel, da wir keinerlei Grund haben, an deren Korrektheit zu zweifeln. Uns ging es nicht darum, einzelne Sites an den Pranger zu stellen, sondern lediglich darum, exemplarisch aufzuzeigen, dass ganz unterschiedliche Arten von Site-Betreibern beziehungsweise deren Partner diese Methoden nutzen. Allerdings haben wir auch keinerlei Grund, an Ihrer Aussage zu zweifeln, dass AddThis zwischenzeitlich entfernt wurde. Zahlreiche Leser werden das sicher begrüßen.
Peter Marwan
Redaktion ZDNet
Die können ja die Quellen beliebig oft hin und her schieben.
Tja, ist der Ruf erst ruiniert, lebt’s sich völlig ungeniert – Teile der Werbebranche scheinen jede Vorsicht in den Wind zu schießen – bis der Gesetzgeber für Ordnung sorgen muss.
Dass nun jedes Ar…loch meint, jeden Internet Nutzer ausspionieren zu dürfen, muss bestraft werden. Bei mir hat die Werbeindustrie damit jede Akzeptanz verspielt, und steht vom Ansehen her nur knapp oberhalb von Online Betrügern.
> Die können ja die Quellen beliebig oft hin und her schieben.
Wenn eine Online-Werbeagentur mit derartigen Verschleierungs-Tricks im Internet unterwegs ist, dann grenzt so ein Geschäftsgebahren in meinen Augen tatsächlich mit Betrug und solche Geschäftemacher gehören aus dem Verkehr gezogen. Aber nach meinen Beobachtungen liefern solche Platzhirsche wie Google bspw. ihre Werbe-Inhalte von konstanten Quellen, die ich dann in Eigenregie filtern kann.
Schuld sind vor allem zunächst die Browser-Hersteller & diesbezügliche Standards. Es ist erstaunlich, was der Browser über das verwendete Gerät und die User-Einstellungen preisgibt…. siehe EFF Checkseite. Über diese Kombination lässt sich ein User sehr leicht identifizieren ohne das man lokal Cookies speichern muss.
DA gehört der Hebel angesetzt – und keinerlei Information preisgegeben.
Die Hersteller haben – wegen der Werbe-Wirtschaft – kein Interesse. Die USER müssen sich hier massiv bewegen und Druck machen, anderweitig die kommerziellen Browser/Hersteller meiden. Nur so wird ein Schuh daraus – in Kombination mit Änderung der Standards.
NACHTRAG:
Hier kann man prüfen, was der Browser alles von sich aus so verrät und ob (in der bereits getesteten Grundgesamtheit) man unique ist:
EFF Check Seite:
https://panopticlick.eff.org/
Solange diese „vorderen Scheunen-Tore“ offen sind, kann man die Hintertüren abschließen, im Ergebnis hilft das aber Nichts.
Ich bleibe bei der These, dass die USER gefordert sind, weil die Browser-Hersteller und Standardisierungs-Gremien da nichts machen. Die Politik ist so weit weg, dass der Bundesanwalt nicht mal gegen den Gesetzesbruch der NSA ermittelt…
Gruß
> Es ist erstaunlich, was der Browser über das verwendete Gerät und die User-Einstellungen preisgibt… siehe EFF Checkseite.
Sie meinen wahrscheinlich diese https://panopticlick.eff.org/ Checkseite. Ich als Webentwickler meine, dass „keinerlei Information preisgegeben“ in der aktuellen Medienlandschaft dazu führen wird, dass die Darstellungsqualität und das Komfort für die Website-Besucher sich verschlechtern. Die vom Browser an den Server gelieferte Informationen (Browsername, Version, Flash-Unterstützung usw. …) dienen zum Teil dazu, die Inhalte der Website optimal darzustellen. Dass die Konstellation der o.g. Parameter ein Unikat und damit eine Art digitalen Fingerabdruck darstellen ist ein Nebeneffekt. Wie mit diesem Nebeneffekt umzugehen ist, darüber müssen sich die Verbraucher, die Zivilgesellschaft, die Politik und die Weiberwirtschaft Gedanken machen. Schließlich führt die Existenz eines echten Fingerabdrucks auch nicht dazu, dass alle Bundesbürgerin in einer zentralen Fingerabdruck-Datei erfasst werden.
@Caracas
HTML5 hat einiges an Verbesserungen mitgebracht, so dass Flash & Silverlight u. a. bald nicht mehr nötig sind.
Heutige Smartphones haben z. T. auch schon HD Auflösung.
Die Fülle an Informationen, wie sie heute ungefragt weitergegeben werden ist unnötig. Man kann mit einem Identifier für eine Geräte-Klasse signalisieren, welches Seiten-Profil zu ziehen ist.
Falls es um die Frage von Darstellungs-Komfort & Bedienbarkeit vs. Datenschutz geht, gewinnt bei mir der Datenschutz.
Meine Daten gehören zunächst mir – da bin Ich noch „Old-School“ gestrickt.
Die Werbeindustrie hat längst das Vertrauen der Nutzer verloren. Zu viel und zu aggressiv wird geworben und verfolgt. Die neuen Trackingmethoden untergraben die Privatsphäre in einem bisher nicht gekannten Ausmaß.
Frage zur Technik: Reicht es nicht die Quelle mittels Router (Blacklist) zu blockieren?
@User
> Frage zur Technik: Reicht es nicht die Quelle mittels Router (Blacklist) zu blockieren?
Es gibt eine Möglichkeit, die Quelle mittels hosts-Blacklist ( s. http://de.wikipedia.org/wiki/Hosts ) zu blockieren ohne die Router-Einstellungen ändern zu müssen. Eine Zeile
127.0.0.1 partner.googleadservices.com
in der Datei C:\Windows\System32\drivers\etc\hosts sorgt bspw. dafür, dass Verbindungen zu der Website partner.googleadservices.com geblockt werden.
Im Firefox im Menüpunkt Extras -> Webentwickler -> Netzwerkanalyse kann man die beim Aufruf beliebiger Website xyz.de aufgebaute Verbindungen betrachten und dann in hosts die unerwünschte Verbindungen blockieren.