EFF demonstriert den "Fingerabdruck" des Browsers
Der Dienst Panopticlick der Electronic Frontier Foundation ermittelt, wie eindeutig identifizierbar Ihr Browser ist - auch ohne Cookies und IP-Adresse.
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat einen Online-Dienst veröffentlicht, mit dem Internet-Nutzer herausfinden können, wie einzigartig ihr Browser ist. Interessant ist das in erster Linie für Surfer, die um Datenschutz und Identifizierbarkeit im Netz besorgt sind – außer über Cookies, Session-ID oder IP-Adresse ermöglicht der Fingerabdruck des Browsers unter Umständen recht zuverlässig, seinen Besitzer zu erkennen.
Die EFF-Anwendung Panopticlick sammelt anonymisierte Daten, um den Nutzern bei der Einschätzung zu helfen, wie leicht sie in der Menge der Surfer erkannt werden können. Der Dienst wertet die HTTP-Anfrage-Header aus (Browserkennung und akzeptierte MIME-Typen) und versucht, mittels JavaScript Informationen über installierte Plug-ins, Schriftarten, die Bildschirmgröße und die Zeitzone zu ermitteln; zuletzt fließen auch Daten über Standard- und "Supercookies" (Web Storage, Flash-Cookies, IE-userData) in das Ranking ein. Derzeit hat die EFF etwa 200.000 Datensätze zum Vergleich gesammelt. Interessanter Nebeneffekt des Projekts: Die Daten erlauben Aufschluss darüber, wie verbreitet beispielsweise Bildschirmauflösungen und Supercookies sind.
Nicht selten identifiziert der Test einen Browser sogar eindeutig – vor allem, wenn der Anwender mit einem weniger verbreiteten Browser auf einem Nicht-Windows-System unterwegs ist. Doch man muss nicht unbedingt mit Internet Explorer 7 auf Windows XP und mittelgroßem Monitor surfen, um keine eindeutigen Fingerabdrücke zu hinterlassen.
Betriebssystem und Browser-Version erhält der Test aus der Browser-Kennung, die sich bei vielen Browsern gezielt ändern lässt – etwa bei Firefox mit dem UA-Switcher. Die detailliertesten Informationen ergeben sich aus den installierten Plug-ins und Fonts, die der Test via JavaScript ermittelt. Das Abschalten von JavaScript reduziert die Menge der ermittelbaren Informationen somit deutlich. Das lässt sich mit NoScript auch Site-spezifisch reglementieren. Bereits mit diesen einfachen Maßnahmen tauchte ein vorher eindeutig zu identifizierender Browser in einer Menge von etwa 30.000 gleichartigen Systemen unter – die sich ohne Proxy allerdings immer noch an Hand der IP-Adresse unterscheiden ließen. (heb)
