Gesellschaft::Politik/Recht
EFF gegen Browser Fingerprinting
Die Electronic Frontier Foundation warnt vor der Möglichkeit, anhand von Browser-Eigenschaften einen Benutzer eindeutig zu identifizieren, und stellt Gegenmaßnahmen vor.
Die Electronic Frontier Foundation (EFF) ist eine gemeinnützige Stiftung, die sich für die Verteidigung der Freiheit in der digitalen Welt einsetzt. Ihr neuestes Projekt Panopticlick beschäftigt sich mit der Wahrung der Privatsphäre von WWW-Nutzern.
Es ist für Webseitenbetreiber einfach, einen Benutzer mit Hilfe von Cookies zu identifizieren, was für viele Anwendungen nützlich oder notwendig ist. Vielen Seiten will man aber keinen Zugang zu diesen Informationen geben. Mit dem Abschalten von Cookies von Hand oder im »privaten« Browser-Modus denken viele Nutzer, das Problem erledigt zu haben. Doch laut EFF gibt es noch eine andere Möglichkeit, Benutzer zu identifizieren: Das Browser Fingerprinting.
Bei dieser Methode wird versucht, den benutzten Browser eindeutig zu identifizieren. Jeder Browser sendet Informationen über seine Version, die auch Betriebssystem-Informationen, Plugin-Informationen und einige Informationen über die Konfiguration enthält. Die EFF will mit dem Experiment »Panopticlick« herausfinden, ob das in der Praxis funktioniert.
Der Hintergrund des Verfahrens ist mathematisch begründet. Bei einer Weltbevölkerung von ca. 7 Milliarden Menschen genügen laut einem einfachen Grundsatz der Informationstheorie knapp 33 Bit, um jeden eindeutig zu identifizieren. Die Frage ist nun, wieviel Bit Information ein Browser liefert, selbst wenn Cookies abgeschaltet sind. Allein der User-Agent-String des Browsers enthält im Durchschnitt bereits etwa 10,5 Bit Information, was bedeutet, dass nur einer von etwa 1400 Browsern exakt den gleichen String liefert.
Die EFF bietet eine Webseite an, auf der man den eigenen Browser analysieren lassen kann. Diese gibt eine genaue Aufstellung der ermittelten Daten. Ohne Cookies und JavaScript bleibt die preisgegebene Information in der Regel unter 20 Bit, was aber genügt, um den Browser unter tausenden oder gar hunderttausenden mit großer Wahrscheinlichkeit zu identifizieren. Wenn JavaScript aktiviert ist, kommen dazu zahlreiche Informationen über die installierten Plugins, die Zeitzone, die Bildschirmgröße, die System-Schriftarten und die »Super Cookies«, sofern man den DOM-Speicher nicht separat ausgeschaltet hat. Zwar lassen sich die so gewonnenen Informations-Bits nicht einfach addieren, da sie teilweise redundant sind. Dennoch ist zu erwarten, dass die gesamte Informationsmenge 30 Bit erreicht oder gar überschreitet.
Die EFF schlägt einige Gegenmaßnahmen vor, um sich vor Ausspähung zu schützen. Als erstes sollte man einen weitverbreiteten Browser einsetzen, damit wird die Identifikation über den User-Agent-String erschwert. Erstaunlicherweise geben die Browser in Smartphones am wenigsten Informationen preis, weil sie ziemlich einheitlich konfiguriert sind und es nur wenige Varianten gibt.
JavaScript zu deaktivieren wäre eine sehr effektive Methode gegen die Preisgabe von Informationen. Leider wird es auf vielen Seiten benötigt. Zwei Plugins für Firefox können laut EFF das Problem mildern: NoScript und AdBlock Plus. Ersteres ist laut EFF oft zu restriktiv und die Benutzer benötigen eine gewisse Erfahrung und haben einige Arbeit damit, um eventuelle Probleme mit Webseiten, die nicht richtig funktionieren, zu beheben. AdBlock Plus auf der anderen Seite schützt laut EFF nur zum Teil, ist aber einfacher anzuwenden. Eine Alternative stellt TorButton dar, doch das anonyme Browsen mit Tor ist leider noch recht langsam.
Eine noch bessere Lösung wäre es laut EFF, wenn die Browser weniger Informationen herausgeben würden. Beispielsweise könnten die vollständigen Informationen auf einen Debugging-Modus beschränkt werden, während im Normalmodus einiges ausgelassen wird oder Versionsnummern gerundet werden. Eine andere Option wäre, die Information zumindest im »privaten« Modus zu reduzieren.
