Im Idealfall (ok, darüber kann man streiten) nutzt eine Webseite die Fähigkeiten eines Browsers voll aus. Wenn nun einem Browser eine oder mehrere Fähigkeiten fehlt, weil sie vielleicht abgeschaltet sind, Plugins nicht instaliiert sind, oder es der Browser einfach nicht kann, reagiert die Web-Seite idealerweise mit einem Fallback auf eine einfachere Variante. Bspw. sollten Webseite, die intensiv Javascript für komfortable Funktionen nutzen, auch ohne Javascript funktionsfähig sein.
Um aber zu wissen, wie die Seite reagieren soll, muss sie ggf. die Fähigkeiten des Browsers kennen. Da kann es schon interessant sein, zu erfahren, wie groß das Browser-Fenster oder sogar der gesamte Bildschirm ist, oder wie groß die Schriftart ist, etc.
"..Eine noch bessere Lösung wäre es laut EFF, wenn die Browser weniger Informationen herausgeben würden.."
Und genau das ist von der Contentindustrie nicht erwünscht denn damit wird Kasse gemacht! Da unterscheiden sich alle Browser nicht voneinander. Der FF ist da genau son Mist wie der IE. Aber wass solls, wir werden uns nicht dagegen wehren können, genau so wenig wie gegen all die "Features" die mit den immer neueren Versionen der Browser und dem Internet zukünftig einhergehen werden. Was würde es außerdem bringen wenn ich alle diese verräterischen Daten blocken könnte, dann wäre ich vielleicht der einzigste auf dieser Webseite dessen Browser nichts preisgeben würde und genau aus diesem Grund sitzungsübergreifend wiedererkennbar. Oder wäre es besser wenn ich den IE/FF so lasse wie er ist, um so in der Masse unterzugehen und um auf diese Weise einer von vielen Idioten zu sein die täglich das Internet nutzen? Sorry das musste mal raus, ich glaube ich muß gleich kotzen gehen!
Du gehörst sicher zu den Usern die nichts zu verbergen haben. Allerdings frage ich mich dann warum du hier unter einem Pseudo postest und nicht unter deinem realen Namen. Solchen Usern wie du einer bist haben wir es zu verdanken, dass das Internet so ist wie es heute ist und Javascript auf vielen Seiten zwingend notwendig ist. Nichtmal den NVIDIA-Treiber kann man inzwischen ohne Aktivierung von Javascript bei nvidia.com laden. Dein geheucheltes Mitleid kannst du dir wirklich für andere aufsparen. Man, wie hasse ich solche Allesklicker und Fanboys.
Haha. Du kennst mich doch nichtmal. Im Gegensatz zu dir Allesklicker muss ich nicht auf nvidia.com weil meine Hardware mit freien Treibern läuft! Selber schuld wenn das bei dir anders ist.
Ich hab übrigens gerade testweise den NVIDIA Treiber mittels links2 runtergeladen. Selber schuld wenn du dein depperten Browser nicht bedienen kannst.
Und zu solchen "Solchen Usern wie du einer bist..."-Sätzen: Halt die Fresse! (ich bin übrigens eine UserIN, Arsch!)
Wenn Du heutzutage Multimediainhalte übers Internet konsumieren möchtest, wird Deine Privatsphäre eben beeinträchtigt. So überträgt der FlashPlayer ja Deine IP-Adresse. Umgekehrt ist auch zu beachten, dass die teilweise Preisgabe einiger Deiner Daten notwendig ist, um bestimmte Dienste verlässlich zu benutzen. Ohne Preisgabe Deiner IP-Adresse wirst Du auch das zukünftige "22 bis 6 Uhr"-Internet, das sich gerade in den Anfängen seiner Entstehung befindet (siehe z.B. bestimmte Medienbibliotheken einiger öffentlich-rechtlicher TV-Sender ) nicht zuverlässig benutzen können. Deiner IP-Adresse wird die zugehörige Zeitzone zugeordnet und das entscheidet dann darüber, ob Du etwas anschauen darfst oder nicht. Am Ende dieser Entwicklung könnte eine verbindliche Vorschrift stehen, dass die Benutzung eines Internetzuganges nur noch nach Authorisierung durch den eigenen E-Personalausweis möglich ist, die bei jeder Interneteinwahl immer wieder aufs Neue zu erfolgen hat. Spätestens dann ist man endgültig ein gläserner Internetsurfer.
>..Am Ende dieser Entwicklung könnte eine verbindliche Vorschrift stehen, dass die Benutzung eines Internetzuganges nur noch nach Authorisierung durch den eigenen E-Personalausweis möglich ist, die bei jeder Interneteinwahl immer wieder aufs Neue zu erfolgen hat
Darauf wird es eventuell hinauslaufen. Aber vielleicht ist das auch überhaupt nicht nötig wenn sich IPv6 durchgesetzt hat. Man sagt dass man damit jedem Menschen auf dieser Welt eine eigene IP verpassen kann. Die Meldung über diesen Fingerprint ist schon etwas älter. Ich hatte schon vor einigen Tagen diesen Link ausprobiert und festgestellt, dass ich eine Einstellung des Browsers nicht mehr verwenden kann weil ich damit allein war. Was mich wundert ist, dass man schon wieder eine Lücke im FF gefunden hat und hier nicht davon berichtet wird.
"Was mich wundert ist, dass man schon wieder eine Lücke im FF gefunden hat und hier nicht davon berichtet wird."
IMHO ist die Datenlage zu dünn, als dass man hier konkrete und verläßliche Aussagen treffen könnte. Du hast aber recht: Diese Sicherheitslücke steht - falls sich die ersten Ankündigungen bewahrheiten sollten - den üblichen IE-Lücken in Nichts nach. Das Problem hierbei ist, dass der Entdecker dieser Lücke anscheinend keinerlei Interesse daran hat, Mozilla darüber zu informieren. Mozilla steht so erst einmal im Regen.
Naja, wenn ich den heise-Artikel richtig deute, ist ja zunächst nur die Windows-Version von FF betroffen. Deswegen ist es auch nicht unbedingt ein Thema für prolinux. Kann natürlich sein, dass die Lücke auch in der Linux-Version existiert und nur noch kein Exploit an die Öffentlichkeit gelangt ist....
Kennt ihr alle denn Privoxy nicht? Nutze ich seit fast 7 Jahren mindestens. Der anonmysiert meine Requests (entfernt unnötiges Zeug) und blockiert Werbung.
Damit ist dann alles schneller (weniger Transfer, weniger Rendering), sicherer (durch den Proxy ist der Browser nicht erkennbar) und angenehmer insgesamt.
Und das ging mit Konqueror so wie jetzt auch mit Iceweasel.
Privoxy habe ich früher mal benutzt, aber 2 Proxys hintereinander geschaltet war mir dann doch etwas zu langsam und fehleranfällig. Es müsste ein Privoxy-Plugin für Squid geben...
Du nutzt also seit 7 Jahren Privoxy und hast nicht die geringste Ahnung von Internettechnologie. Privoxy hilft in diesem Fall nämlich gar nichts. Das Problem ist hier JavaScript Flash Silverlight.
Ist nämlich ganz einfach, z.B. rufst du im einfachsten Fall in der onload ein Javascript ein, dass Infos zu deinem Browser ausliest und per GET/POST zurück an den Server sendet.
Was glaubst du wie das Ganze Ajax Zeugs funktioniert?
"durch den Proxy ist der Browser nicht erkennbar"
Das ist leider kompletter Blödsinn:-)
Siehe hierzu:
http://www.scip.ch/?labs.20090904
Gegen Browser Fingerprinting würde nur Helfen, wenn es entweder einen Browser geben würde oder alle sich an einen gemeinsamen Standard halten würde, bei dem festgelegt wäre, das nur bestimmte Infos herausgegeben werden dürfen.
...zumindest vom Internetgiganten Google noch nicht. Wer mehr als einen Rechner sein eigen nennt, eine VM hat oder mehr als einen Internetbrowser, kann das leicht testen. Man kann nämlich super sehen, wie sich Youtube und die Googlewerbungen auf den verschiedenen Internetseiten ziemlich unbedarft verhalten, wenn man Browser oder Rechner wechselt, oder auch einfach nur die privaten Daten im Browser löscht.
Ich benutze zwar AdblockPlus, aber das ist weitehend außer Gefecht gesetzt und auch NoScript, aber das habe ich deaktiviert, ist einfach zu nervig...
Es ist übrigens möglich Computer über das Netzwerkkartentiming selbst hinter NATs zu identifizieren...
Typical advice for improving your privacy as you surf the web might include blocking or deleting cookies (and supercookies), and using proxy servers or tools like Tor to hide your IP address.
Mein Firefox unter Debian mit ausgeschalteten Cookies und deaktiviertem Javascript ist unter den bisher getesteteten 655,667 Browsern angeblich "unique", also einzigartig.
Was noch vergessen wurde, ist, dass man bei eingeschaltetem Javascript jedes Browserfenster und damit jeden Browser serverseitig mit einer individuellen Zahlenkennung, also einer persönlichen Kennung, versehen kann. Diese Kennung ist bei eingeschaltetem Javascript von jedem Webanbieter abrufbar, dessen Seiten man ansurft. Von daher wird dann bei eingeschaltetem Javascript jeder Browser einzigartig, insofern man seine Browserfenster nicht immer wieder einmal schließt und neue öffnet.
Da liegst du falsch. Denn die "Info Bits", die du z.B. durch hinzufügen von NoScript erzeugst helfen dir im Gegenzug mehrere Bits zu sparen.
Das ist im Prinzip wie bei einer Wärmepumpe, du investierst ein KW in Strom bekommst aber 4 heraus.
Du holst dir NoScript und fügst ein weiteres Infobit hinzu , ziehst aber dafür nun 10 Infobits ab, weil die Seite gegenüber jetzt nur noch wenige Infos erhält.
Am besten das Ganze mal genauer studieren, damit du die Technik dahinter verstehst.
Das stimmt so wahrscheinlich nicht. Mit eingeschaltetem Javascript hast Du gute Chancen, wirklich persönlich identifizierbar zu werden (s.o.). Beim obigen Test mit meinem Browser (Testergebnis: "unique") wurden drei wesentliche Dinge von mir noch nicht manipuliert: 1. Der Linux-Browserstring, den ich noch auf einen passenden Windowsstring umstellen muß. 2. Das, was man "HTTP_ACCEPT Headers" nennt. Auch hier ist Firefox zu geschwätzig, das muß von mir noch geändert werden. 3. Die Verschleierung der eigenen IP-Adresse mit Tor (ich habe obigen Test ohne Tor durchgeführt). Das wesentlichste Element dürfte wohl Punkt 3 sein, da die dann vom eigenen Browser verbreiteten Informationen den "Datenjägern" in praktischer Hinsicht nur sehr wenig nutzen, "unique" hin oder her.
>Mit eingeschaltetem Javascript hast Du gute Chancen, wirklich persönlich identifizierbar zu werden..
Ich habe es mit dem IE und dem FF probiert. Ganz unten auf der Seite von http://anonymous-proxy-servers.net/de/anontest steht dann aber und das ist der eigentliche Hammer:
"Im Übrigen wurde ihr Browser bzw. ihr Browserfenster / Browser-Tab mit einer Zufallszahl markiert. Diese Zahl ist durch JavaScript von jeder Seite aufrufbar, die Sie im folgenden besuchen werden. Ihre persönliche Kennung ist 18924751..."
Es kann zwar sein, Dass Du Dich mit eingeschaltetem Javascript massenkonformer verhältst. Doch die Masse an zusätzlich übersandten Informationen macht diesen "Vorteil" nicht wett, ganz im Gegenteil. Insofern führt der EFF-Test ein wenig aufs Glatteis. Nicht jede Browserinformation ist für "Datenjäger" gleich viel "wert". Schau Dir vielleicht auch einmal diesen deutschsprachigen Browsertest mit und ohne Javascript an, die Unterscheide zwischen beiden Modi sind gigantisch: http://anon.inf.tu-dresden.de/help/jap_help/de/help/security_test.html
Vielleicht könnte man ja ein Addon für FF schreiben, das einige Werte pro Seitenaufruf zufällig verändert, wenn das genug Leute nutzen wirds schwer da etwas rauszufiltern.
Genau sowas habe ich mir auch gedacht und dann das User Agent Switcher-Plugin von Firefox so angepasst, dass es jetzt bei jedem Neustart einen Useragent aus der Liste zufällig auswählt. Somit ist man in der Hinsicht jeden Tag anders unterwegs.
Ein Problem dabei sind allerdings Webseiten wie Facebook. Dort ist man mit einem unbekannten Useragent einfach ausgeschlossen und kann sich nicht anmelden. Echt ne Frechheit, ich sollte doch selber entscheiden können, ob mein Browser das kann oder nicht.
Auf jedem Fall ist eine lange Liste mit Einträgen für jede Version von Firefox schon mal guter Anfang für das leicht Anonymisierte Surfen.
Meine Modifikation gibt es unter: http://www.georf.de/download-Projekte|Firefox_Addons.html
19,3 Bit ist derzeit die Obergrenze, weil sich erst 650.000 Leute getestet haben (2 hoch 19,3). In Wahrheit gibt man mit eingeschaltetem JavaScript wesentlich mehr Bit preis. Das Experiment ist wahrscheinlich zu klein, um die exakte Zahl zu ermitteln.
Die Vorschläge sind leider ziemlicher Müll, so wie sie da stehen.
Der Useragent ist tatsächlich die *am wenigsten* hilfreiche Angabe, um identifizierbar zu sein, denn diese ist bei jedem Benutzer mit dem gleichen Browser unter dem gleichen OS [Achtung: jede Version einer Linux-Distri ist dabei als eigenes OS zu betrachten!]. Fummelt man an dieser herum, wird der eigene UA fast zwingend deutlich seltener - spätestens, wenn dann die sonstigen Daten nicht mehr eindeutig zu dem UA passen.
Die "sonstigen" Angaben (Auflösung, Cookie-Settings, Zeitzone) sind weitgehend wertlos und liefern einen Faktor irgendwo bei 1:20 und weniger - außer natürlich, man hat in diesem Bereich irgendwas skuriles.
Dann gibt es noch den 'HTTP Accept Header', bei dem Ding ist die Standard-Einstellung noch relativ harmlos und produziert einen Wert von 1:450. Spielt man mit den akzeptieren Sprachen herum (eine Einstellung, die heute völlig wertlos geworden ist), ist man hier schnell mit einem Klick eindeutig.
Die Auswertung der installierten Schriften erfolgt per Flash und geht bei Flashblock dann natürlich daneben. Java kann das auch; aber bereits mit der Nutzung einer JVM dürfte man wesentlich identifizierbarer sein (schon die Existenz einer solchen ist eher selten und dann gibt's davon noch diverse Versionen).
DER dicke Fisch und zumeist fast alleine ausreichend, sind die Plugins: Hier gibt es einen ziemlich langen String, in dem *jedes* Plugin samt seinen Versionen drin steht. Man kann sich fast vorstellen, dass das Ding sehr sehr schnell eindeutig wird; allerdings auch der Teil ist, der sich am häufigsten mal wieder ändert...
Cookies abschalten macht übrigens das Tracking *einfacher* als sie nach der Session wegzuwerfen. Letzteres kriegt nämlich die Website nicht mit. Aus dem gleichen Grunde ist "gängigen Browser benutzen" Käse: Der MSIE schleppt zum Beispiel eine Art "Patchnummer" im UA mit sich herum; bei Firefox steht das verwendete OS *sehr* genau da drin.
Hier könnten nur die Browserhersteller helfen, wenn sie ihre UAs *massiv* verkürzen. Statt "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.1.8) Gecko/20100214 Ubuntu/9.10 (karmic) Firefox/3.5.8" dann eben nur "Firefox 3.5 Linux". Würde zudem die Leute freuen, die daraus irgendwelche Statistiken ziehen wollen, denn die müssen derzeit auch erstmal aus dem Wust die wenigen wichtigen Infos filtern und daher ständig die Abfragescripte ändern.
Also Lösungsansätze: 1. nicht an irgendwelchen Einstellungen, die vermeintlich für mehr Privatsphäre sorgen, herumdrehen 2. Finger weg vom UA; egal ob durch Exotenbrowser oder durch manuelle Veränderungen. 3. Flashblock und dann nur die Flash-Dinger starten, deren Sinn klar ist. Flash abschalten dürfte schon wieder eindeutiger werden
> 5. Flashplugin mitteilen, dass man keine Kekse speichern möchte, dazu:
Lieber per cron-job löschen oder BetterPrivacy nutzen. Manche Flash-Seiten funktionieren ohne die flash-cookies gar nicht, sagen aber auch nicht warum sie nicht funktionieren
Wenn man seinen offiziellen Firefox-Linux-String auf einen ebenso offiziellen und häufig(er) benutzten "Windows NT"-Firefox-String umstellt, dann bringt das schon etwas. Statt "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.1.8) Gecko/20100214 Ubuntu/9.10 (karmic) Firefox/3.5.8" benutzt man dann halt z.B. Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8 oder Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8, falls man weiterhin als deutscher Browser erkannt werden möchte.
Das bringt nur dort was, wo es dir sowieso egal sein könnte, ob hier jemand weis welchen Browser du verwendest, wenn jemand richtig Browser Fingerprinting betreibt um dich zu tracken, dann bringt so ein Käse wie UA String umstellen gar nix.
Ich glaube auch du hast noch nicht verstanden um was es hier geht. Du meldest dich z.B. bei irgendeinem Google Service mit deinem wahren Daten an, die können jetzt Fingerprint User zuordnen, ab sofort weis Google Wie Wann Wo welche Seiten du ansurfst un das mindestens bei 75% aller Seiten, denn bei 80% aller Seiten ist irgendein Google Mist includiert, sei es googleapi, urchin tracker, google-analytics ...
Das schöne für die ist nämlich jetzt, dass du dich z.B. nicht jedesmal bei dem Google Service anmelden musst, damit sie dich über die IP tracken können, so wie es früher mal gemacht werden musste.
Das Problem wird ja erst dadurch zu einem, dass jeder Webserver bzw. jedes Webangebot nur einen bestimmten begrenzten Besucherandrang hat. Trotzdem halte ich es für falsch, die Flinte gleich ins Korn zu werfen. Nur die von mir vorgeschlagene Umstellung von einem Linux- auf einen Windows-Firefox-String ließ das Problem, im Rahmen des EFF-Webangebots "unique" zu sein, von ca. einem in 600.000 Fällen auf einen in 45.000 Fällen sinken. Google-Dienste, die eine Registrierung oder Anmeldung erfordern, nutze ich im übrigen nicht. Wenn man Tor verwendet, kann man übrigens noch nicht einmal die Googlesuchmaschine benutzen. Das ist Dir aber bestimmt bekannt.
"Google-Dienste, die eine Registrierung oder Anmeldung erfordern, nutze ich im übrigen nicht. "
Geht mir ähnlich, nur das ich wenn nötig und falls möglich dann halt Fantasie Namen verwende.
Aber ganz konkret liegt das Problem hier aber hauptsächlich, wie vom EFF genannt, bei dem Browser. Mozilla als freier Browser sollte demnach vorpreschen und alles unternehmen um Fingerprinting zu erschweren.
Wie gesagt, in der Regel muss kein Webseitenbetreiber wissen, mit welcher Minornummer ein Plugin versehen ist.
Ich würde soweit gehen, dass ein Auslesen der Plugin-Liste *gar nicht* mehr möglich ist - für die Alternativhinweise, wenn das Plugin nicht da ist, sind sowieso in HTML andere Lösungen vorhanden. Und den UA eben auf die ersten zwei Versionsnummern und das grundlegende Betriebssystem verkürzen.
Eh, für den Gesamtbestand oder für das Einzelkriterium UserAgent? Das ist ja das Vertrackte an der Identifizierbarkeit: es kann einem passieren, dass bereits die Kombination zweiter für sich völlig gängiger Details so selten ist, dass sie als eindeutig ausreicht.
Genau diese Aussage ist nicht nur FALSCH, sondern mit Blick auf die Absicht dieser Aktion verheerend. Bei den Plugins bleibt das Ding nämlich klar weiterhin als Linux-Browser zu erkennen. Und die Kombination aus beidem macht dann die Sache einfach - wie viele Linux-Browser mit genau dieser Plugin-Kombination werden sich wohl als genau dieser Windows-Browser ausgeben? Genau: schon hamwa wat eindeutiges. Selbst der Gedanke die Ubuntu-Kennung rauszuwerfen, ist kontraproduktiv, da unter den Plugins mit Sicherheit ein paar Ubuntu-typische Versionsnummern sein werden, wodurch sofort wieder der UA-Fälscher von den echten unterschieden werden kann.
"Bei den Plugins bleibt das Ding nämlich klar weiterhin als Linux-Browser zu erkennen."
Was für Plugins? Ich habe keine eingeschaltet. Selbst das Default-Plugin wird von mir gelöscht. Surfen mit Plugins kommt bei mir sehr selten vor und erfolgt von einer anderen Linuxinstallation aus. Den größten Teil meiner Internetsitzungen "betreibe" ich ohne Plugins.
"wie viele Linux-Browser mit genau dieser Plugin-Kombination werden sich wohl als genau dieser Windows-Browser ausgeben?"
Sehr viele. Ein Firefox 3.5.8 auf einem WinXP-System hat meist genau die von mir angegebene Kennung (je nach WinXP-Patchlevel). Viel auffälliger ist es, sich mit einem Linux- bzw. Ubuntu-String durchs Internet zu bewegen. Natürlich muß man bei all den Änderungen aufpassen, dass man keine Schreibfehler macht, weil man sich dann ansonsten selbst einen "immerwährenden Wiedererkennungs-Super-Cookie" verpasst hätte.
"Selbst der Gedanke die Ubuntu-Kennung rauszuwerfen, ist kontraproduktiv, da unter den Plugins mit Sicherheit ein paar Ubuntu-typische Versionsnummern sein werden, wodurch sofort wieder der UA-Fälscher von den echten unterschieden werden kann."
Völlig falsch. Ubuntu betreibt hier schließlich kein "Voodoo". Man nimmt die Strings, die man erhält, wenn man einen aktuellen Firefox von Mozilla.com herunterlädt und dann z.B. unter Windows XP startet.
Ich muß meine Kritik an Deinem letzten Punkt teilweise zurückziehen. Es existieren ja tatsächlich u.a. distributionspezifische Firefox-AddOns (Ubufox in Ubuntu und etwas Ähnliches nun auch in OpenSuse 11.2, die die eigenen Einstellungen unter .mozilla "überschreiben"). Das ist mit einer der Gründe, warum ich meist den Firefox von mozilla.com den distributionseigenen Mozillabrowsern vorziehe. Es dauert einfach zu lange, um herauszufinden, was z.B. dieses mir unbekannte Ubufox so "treibt" ("Extension package for Firefox provides ubuntu specific configuration defaults (...)"). Auch die Benutzung des offiziellen Linuxstrings des distributionsspezifischen Debian-Browsers verbietet sich natürlich, mit Iceweasels Standard-String fällt man auf wie ein bunter Hund. Hinzu kommt natürlich das Problem mit den u.U. linuxspezifischen Systemschriften, was in die obige EFF-Erkennungsmethode ja mit einfließt. Im Hinblick auf das Pluginproblem hast Du natürlich prinzipiell recht, man lässt sie dann am besten weg.
Zudem versteht es sich von selbst, dass das "in die Masse untertauchen wollen" nicht dadurch erkauft werden darf, dass man über eingeschaltete Plugins und eingeschaltetes Javascript möglichst viele eigene Browserdaten an unbefugte Webseiten sendet, nur, weil es fast alle tun. Das eigentliche Problem ist, dass ein Browserhersteller wie Mozilla seine Haupteinnahmen von einem Werbegiganten bezieht, Linuxe wie Ubuntu bewegen sich in Teilbereichen in dieselbe Richtung. Von daher ist auf der Anbieterseite niemand interessiert, die Geschwätzigkeit der eigenen Browser standardmäßig abzustellen. Das Interesse, möglichst genaue Daten über die Internetsurfer zu erheben, die dazu genutzt werden können, genau passende und gut bezahlte Werbung zu schalten, überwiegt hier einfach.
Von Linux Minderheit am Mo, 22. Februar 2010 um 13:55 #
> Wenn man seinen offiziellen Firefox-Linux-String auf einen ebenso offiziellen und häufig(er) benutzten "Windows NT"-Firefox-String umstellt, dann bringt das schon etwas.
Und die Marketingschreihälse schließen dann wieder daraus, daß kein Mensch Linux benutzt, kein Linux markt vorhanden ist und man als Linuxuser dann das Nachsehen hat.
Nein, es ist sinnvoller wenn man beim Windows Browser die Stringkennung auf Firefox Linux ändert.
Scheiß auf Fingerprinting. Der größte Datensammler ist doch der Staat mit all seinen Organisationen und Einrichtungen. Da melden wir uns schon bei Geburt an ohne das wir ein Veto einlegen können. Und alle Stellen sind fein miteinander vernetzt.
Dagegen ist doch ein bisschen Webtracking pillepalle.
Na, na... Sicher soll auch bei Vadder Staat die Datensammlung verhältnismäßig bleiben. Ganz abstellen lässt sie sich aber nicht, denn wie sollte sonst das ganze Gemeinwesen funktionieren? Private Datensauger finde ich deutlich bedrohlicher. Meine Meinung.
> Da melden wir uns schon bei Geburt an ohne das wir ein Veto einlegen können.
Grundsätzlich sollte man alle Staaten abschaffen, denn dann braucht man auch keinen Paß mehr um von A nach B zu reisen.
Es ist sowieso ne Sauerei, daß man an irgendwelchen Imaginiären Grenzen die sich eine Menschengruppe ausgedacht hat, nicht einfach weiterreisen kann.
Man stelle sich vor die Neandertaler hätten Grenzen gehabt wie heute, dann wäre der Homo Sapiens niemals nach Europa gelangt.
Am besten haben es noch die native Americans (Indianer) gemacht, die hatten keine Grenzen und jeder Europäer durfte in den Nordamerikanischen Kontinent einreisen. Daher ergibt sich aber auch, daß die USA kein Recht hat als Staat zu existieren, denn man muß auch mir, da ich Europäer bin, das Recht gestatten einfach den Nordamerikanischen Kontinent zu besuchen und dort Land zu beschlagnahmen.
Warum kann man diese Felder überhaupt abfragen?
Was ist der tiefere Sinn dahinter?
Im Idealfall (ok, darüber kann man streiten) nutzt eine Webseite die Fähigkeiten eines Browsers voll aus. Wenn nun einem Browser eine oder mehrere Fähigkeiten fehlt, weil sie vielleicht abgeschaltet sind, Plugins nicht instaliiert sind, oder es der Browser einfach nicht kann, reagiert die Web-Seite idealerweise mit einem Fallback auf eine einfachere Variante. Bspw. sollten Webseite, die intensiv Javascript für komfortable Funktionen nutzen, auch ohne Javascript funktionsfähig sein.
Um aber zu wissen, wie die Seite reagieren soll, muss sie ggf. die Fähigkeiten des Browsers kennen. Da kann es schon interessant sein, zu erfahren, wie groß das Browser-Fenster oder sogar der gesamte Bildschirm ist, oder wie groß die Schriftart ist, etc.
"..Eine noch bessere Lösung wäre es laut EFF, wenn die Browser weniger Informationen herausgeben würden.."
Und genau das ist von der Contentindustrie nicht erwünscht denn damit wird Kasse gemacht! Da unterscheiden sich alle Browser nicht voneinander. Der FF ist da genau son Mist wie der IE. Aber wass solls, wir werden uns nicht dagegen wehren können, genau so wenig wie gegen all die "Features" die mit den immer neueren Versionen der Browser und dem Internet zukünftig einhergehen werden.
Was würde es außerdem bringen wenn ich alle diese verräterischen Daten blocken könnte, dann wäre ich vielleicht der einzigste auf dieser Webseite dessen Browser nichts preisgeben würde und genau aus diesem Grund sitzungsübergreifend wiedererkennbar.
Oder wäre es besser wenn ich den IE/FF so lasse wie er ist, um so in der Masse unterzugehen und um auf diese Weise einer von vielen Idioten zu sein die täglich das Internet nutzen? Sorry das musste mal raus, ich glaube ich muß gleich kotzen gehen!
Och du armer gebeutelter Internetuser, bedroht von der "Contentindustrie" und lauter bösen Features. Du kannst einem wirklich leid tun.
Du gehörst sicher zu den Usern die nichts zu verbergen haben. Allerdings frage ich mich dann warum du hier unter einem Pseudo postest und nicht unter deinem realen Namen. Solchen Usern wie du einer bist haben wir es zu verdanken, dass das Internet so ist wie es heute ist und Javascript auf vielen Seiten zwingend notwendig ist. Nichtmal den NVIDIA-Treiber kann man inzwischen ohne Aktivierung von Javascript bei nvidia.com laden. Dein geheucheltes Mitleid kannst du dir wirklich für andere aufsparen. Man, wie hasse ich solche Allesklicker und Fanboys.
Haha. Du kennst mich doch nichtmal. Im Gegensatz zu dir Allesklicker muss ich nicht auf nvidia.com weil meine Hardware mit freien Treibern läuft! Selber schuld wenn das bei dir anders ist.
Ich hab übrigens gerade testweise den NVIDIA Treiber mittels links2 runtergeladen. Selber schuld wenn du dein depperten Browser nicht bedienen kannst.
Und zu solchen "Solchen Usern wie du einer bist..."-Sätzen: Halt die Fresse! (ich bin übrigens eine UserIN, Arsch!)
Wenn Du heutzutage Multimediainhalte übers Internet konsumieren möchtest, wird Deine Privatsphäre eben beeinträchtigt.
So überträgt der FlashPlayer ja Deine IP-Adresse.
Umgekehrt ist auch zu beachten, dass die teilweise Preisgabe einiger Deiner Daten notwendig ist, um bestimmte Dienste verlässlich zu benutzen.
Ohne Preisgabe Deiner IP-Adresse wirst Du auch das zukünftige "22 bis 6 Uhr"-Internet, das sich gerade in den Anfängen seiner Entstehung befindet (siehe z.B. bestimmte Medienbibliotheken einiger öffentlich-rechtlicher TV-Sender ) nicht zuverlässig benutzen können. Deiner IP-Adresse wird die zugehörige Zeitzone zugeordnet und das entscheidet dann darüber, ob Du etwas anschauen darfst oder nicht.
Am Ende dieser Entwicklung könnte eine verbindliche Vorschrift stehen, dass die Benutzung eines Internetzuganges nur noch nach Authorisierung durch den eigenen E-Personalausweis möglich ist, die bei jeder Interneteinwahl immer wieder aufs Neue zu erfolgen hat. Spätestens dann ist man endgültig ein gläserner Internetsurfer.
>..Am Ende dieser Entwicklung könnte eine verbindliche Vorschrift stehen, dass die Benutzung eines Internetzuganges nur noch nach Authorisierung durch den eigenen E-Personalausweis möglich ist, die bei jeder Interneteinwahl immer wieder aufs Neue zu erfolgen hat
Darauf wird es eventuell hinauslaufen. Aber vielleicht ist das auch überhaupt nicht nötig wenn sich IPv6 durchgesetzt hat. Man sagt dass man damit jedem Menschen auf dieser Welt eine eigene IP verpassen kann.
Die Meldung über diesen Fingerprint ist schon etwas älter. Ich hatte schon vor einigen Tagen diesen Link ausprobiert und festgestellt, dass ich eine Einstellung des Browsers nicht mehr verwenden kann weil ich damit allein war.
Was mich wundert ist, dass man schon wieder eine Lücke im FF gefunden hat und hier nicht davon berichtet wird.
http://www.heise.de/newsticker/meldung/Morgen-Kinder-wird-s-was-geben-Zero-Day-Exploit-fuer-Firefox-3-6-935960.html
"Was mich wundert ist, dass man schon wieder eine Lücke im FF gefunden hat und hier nicht davon berichtet wird."
IMHO ist die Datenlage zu dünn, als dass man hier konkrete und verläßliche Aussagen treffen könnte.
Du hast aber recht: Diese Sicherheitslücke steht - falls sich die ersten Ankündigungen bewahrheiten sollten - den üblichen IE-Lücken in Nichts nach. Das Problem hierbei ist, dass der Entdecker dieser Lücke anscheinend keinerlei Interesse daran hat, Mozilla darüber zu informieren. Mozilla steht so erst einmal im Regen.
Naja, wenn ich den heise-Artikel richtig deute, ist ja zunächst nur die Windows-Version von FF betroffen. Deswegen ist es auch nicht unbedingt ein Thema für prolinux.
Kann natürlich sein, dass die Lücke auch in der Linux-Version existiert und nur noch kein Exploit an die Öffentlichkeit gelangt ist....
Kennt ihr alle denn Privoxy nicht? Nutze ich seit fast 7 Jahren mindestens. Der anonmysiert meine Requests (entfernt unnötiges Zeug) und blockiert Werbung.
Damit ist dann alles schneller (weniger Transfer, weniger Rendering), sicherer (durch den Proxy ist der Browser nicht erkennbar) und angenehmer insgesamt.
Und das ging mit Konqueror so wie jetzt auch mit Iceweasel.
Gruss,
Kay
Privoxy habe ich früher mal benutzt, aber 2 Proxys hintereinander geschaltet war mir dann doch etwas zu langsam und fehleranfällig. Es müsste ein Privoxy-Plugin für Squid geben...
Du nutzt also seit 7 Jahren Privoxy und hast nicht die geringste Ahnung von Internettechnologie. Privoxy hilft in diesem Fall nämlich gar nichts. Das Problem ist hier JavaScript Flash Silverlight.
Ist nämlich ganz einfach, z.B. rufst du im einfachsten Fall in der onload ein Javascript ein, dass Infos zu deinem Browser ausliest und per GET/POST zurück an den Server sendet.
Was glaubst du wie das Ganze Ajax Zeugs funktioniert?
"durch den Proxy ist der Browser nicht erkennbar"
Das ist leider kompletter Blödsinn:-)
Siehe hierzu:
http://www.scip.ch/?labs.20090904
Gegen Browser Fingerprinting würde nur Helfen, wenn es entweder einen Browser geben würde oder alle sich an einen gemeinsamen Standard halten würde, bei dem festgelegt wäre, das nur bestimmte Infos herausgegeben werden dürfen.
...zumindest vom Internetgiganten Google noch nicht. Wer mehr als einen Rechner sein eigen nennt, eine VM hat oder mehr als einen Internetbrowser, kann das leicht testen. Man kann nämlich super sehen, wie sich Youtube und die Googlewerbungen auf den verschiedenen Internetseiten ziemlich unbedarft verhalten, wenn man Browser oder Rechner wechselt, oder auch einfach nur die privaten Daten im Browser löscht.
Ich benutze zwar AdblockPlus, aber das ist weitehend außer Gefecht gesetzt und auch NoScript, aber das habe ich deaktiviert, ist einfach zu nervig...
Es ist übrigens möglich Computer über das Netzwerkkartentiming selbst hinter NATs zu identifizieren...
Typical advice for improving your privacy as you surf the web might include blocking or deleting cookies (and supercookies), and using proxy servers or tools like Tor to hide your IP address.
BetterPrivacy und User Agent Switcher schafft zusätzlich Abhilfe.
Einfach z,B.als GoogleBot ausgeben und abtauchen...
Screenshot 1
Screenshot 2
Das Problem bei der Methode der EFF ist leider das solche Tipps kontraproduktiv wirken, da sie den Browser noch einzigartiger machen.
Je mehr man sich mit seinem Browser von der Masse abhebt, desto einfacher wird es diesen wiederholt zu identifizieren.
Das scheint so zu sein.
Mein Firefox unter Debian mit ausgeschalteten Cookies und deaktiviertem Javascript ist unter den bisher getesteteten 655,667 Browsern angeblich "unique", also einzigartig.
Was noch vergessen wurde, ist, dass man bei eingeschaltetem Javascript jedes Browserfenster und damit jeden Browser serverseitig mit einer individuellen Zahlenkennung, also einer persönlichen Kennung, versehen kann. Diese Kennung ist bei eingeschaltetem Javascript von jedem Webanbieter abrufbar, dessen Seiten man ansurft. Von daher wird dann bei eingeschaltetem Javascript jeder Browser einzigartig, insofern man seine Browserfenster nicht immer wieder einmal schließt und neue öffnet.
Da liegst du falsch. Denn die "Info Bits", die du z.B. durch hinzufügen von NoScript erzeugst helfen dir im Gegenzug mehrere Bits zu sparen.
Das ist im Prinzip wie bei einer Wärmepumpe, du investierst ein KW in Strom bekommst aber 4 heraus.
Du holst dir NoScript und fügst ein weiteres Infobit hinzu , ziehst aber dafür nun 10 Infobits ab, weil die Seite gegenüber jetzt nur noch wenige Infos erhält.
Am besten das Ganze mal genauer studieren, damit du die Technik dahinter verstehst.
...was es bringt, JavaScript abzuschalten.
655.710 Browser (ohne NoScript) gegen 18.214 Browser (mit NoScript) haut mich schon vom Hocker.
Grueße
Ignatz
Das stimmt so wahrscheinlich nicht.
Mit eingeschaltetem Javascript hast Du gute Chancen, wirklich persönlich identifizierbar zu werden (s.o.).
Beim obigen Test mit meinem Browser (Testergebnis: "unique") wurden drei wesentliche Dinge von mir noch nicht manipuliert:
1. Der Linux-Browserstring, den ich noch auf einen passenden Windowsstring umstellen muß.
2. Das, was man "HTTP_ACCEPT Headers" nennt. Auch hier ist Firefox zu geschwätzig, das muß von mir noch geändert werden.
3. Die Verschleierung der eigenen IP-Adresse mit Tor (ich habe obigen Test ohne Tor durchgeführt).
Das wesentlichste Element dürfte wohl Punkt 3 sein, da die dann vom eigenen Browser verbreiteten Informationen den "Datenjägern" in praktischer Hinsicht nur sehr wenig nutzen, "unique" hin oder her.
>Mit eingeschaltetem Javascript hast Du gute Chancen, wirklich persönlich identifizierbar zu werden..
Ich habe es mit dem IE und dem FF probiert. Ganz unten auf der Seite von http://anonymous-proxy-servers.net/de/anontest steht dann aber und das ist der eigentliche Hammer:
"Im Übrigen wurde ihr Browser bzw. ihr Browserfenster / Browser-Tab mit einer Zufallszahl markiert. Diese Zahl ist durch JavaScript von jeder Seite aufrufbar, die Sie im folgenden besuchen werden. Ihre persönliche Kennung ist 18924751..."
wie soll accept headers verändert werden? Mit der Erweiterung "Modify Headers" funtioniert es nicht
Hab ich was falsch verstanden? Ich dachte es wäre besser, wenn die Zahl da so klein wie möglich ist. Ergo: Javascript in deinem Fall einschalten.
sorry verlesen.
Es kann zwar sein, Dass Du Dich mit eingeschaltetem Javascript massenkonformer verhältst. Doch die Masse an zusätzlich übersandten Informationen macht diesen "Vorteil" nicht wett, ganz im Gegenteil. Insofern führt der EFF-Test ein wenig aufs Glatteis. Nicht jede Browserinformation ist für "Datenjäger" gleich viel "wert".
Schau Dir vielleicht auch einmal diesen deutschsprachigen Browsertest mit und ohne Javascript an, die Unterscheide zwischen beiden Modi sind gigantisch:
http://anon.inf.tu-dresden.de/help/jap_help/de/help/security_test.html
Vielleicht könnte man ja ein Addon für FF schreiben, das einige Werte pro Seitenaufruf zufällig verändert, wenn das genug Leute nutzen wirds schwer da etwas rauszufiltern.
Genau sowas habe ich mir auch gedacht und dann das User Agent Switcher-Plugin von Firefox so angepasst, dass es jetzt bei jedem Neustart einen Useragent aus der Liste zufällig auswählt. Somit ist man in der Hinsicht jeden Tag anders unterwegs.
Ein Problem dabei sind allerdings Webseiten wie Facebook. Dort ist man mit einem unbekannten Useragent einfach ausgeschlossen und kann sich nicht anmelden. Echt ne Frechheit, ich sollte doch selber entscheiden können, ob mein Browser das kann oder nicht.
Auf jedem Fall ist eine lange Liste mit Einträgen für jede Version von Firefox schon mal guter Anfang für das leicht Anonymisierte Surfen.
Meine Modifikation gibt es unter:
http://www.georf.de/download-Projekte|Firefox_Addons.html
Habe jetzt mit Firefox, Opera und Konqueror getestet. Bei allen drei werden knapp 20 bit identifiziert - ist das bei euch auch so?
19,3 Bit ist derzeit die Obergrenze, weil sich erst 650.000 Leute getestet haben (2 hoch 19,3). In Wahrheit gibt man mit eingeschaltetem JavaScript wesentlich mehr Bit preis. Das Experiment ist wahrscheinlich zu klein, um die exakte Zahl zu ermitteln.
wenn npview.bin beim browser probleme macht, kann man npview.bin über den packetmanager deinstallieren.
ps. wie testen einige internetseiten für internetgeschwindigkeiten test die uploadgeschwindigkeit ??
Die Vorschläge sind leider ziemlicher Müll, so wie sie da stehen.
Der Useragent ist tatsächlich die *am wenigsten* hilfreiche Angabe, um identifizierbar zu sein, denn diese ist bei jedem Benutzer mit dem gleichen Browser unter dem gleichen OS [Achtung: jede Version einer Linux-Distri ist dabei als eigenes OS zu betrachten!]. Fummelt man an dieser herum, wird der eigene UA fast zwingend deutlich seltener - spätestens, wenn dann die sonstigen Daten nicht mehr eindeutig zu dem UA passen.
Die "sonstigen" Angaben (Auflösung, Cookie-Settings, Zeitzone) sind weitgehend wertlos und liefern einen Faktor irgendwo bei 1:20 und weniger - außer natürlich, man hat in diesem Bereich irgendwas skuriles.
Dann gibt es noch den 'HTTP Accept Header', bei dem Ding ist die Standard-Einstellung noch relativ harmlos und produziert einen Wert von 1:450. Spielt man mit den akzeptieren Sprachen herum (eine Einstellung, die heute völlig wertlos geworden ist), ist man hier schnell mit einem Klick eindeutig.
Die Auswertung der installierten Schriften erfolgt per Flash und geht bei Flashblock dann natürlich daneben. Java kann das auch; aber bereits mit der Nutzung einer JVM dürfte man wesentlich identifizierbarer sein (schon die Existenz einer solchen ist eher selten und dann gibt's davon noch diverse Versionen).
DER dicke Fisch und zumeist fast alleine ausreichend, sind die Plugins: Hier gibt es einen ziemlich langen String, in dem *jedes* Plugin samt seinen Versionen drin steht. Man kann sich fast vorstellen, dass das Ding sehr sehr schnell eindeutig wird; allerdings auch der Teil ist, der sich am häufigsten mal wieder ändert...
Cookies abschalten macht übrigens das Tracking *einfacher* als sie nach der Session wegzuwerfen. Letzteres kriegt nämlich die Website nicht mit. Aus dem gleichen Grunde ist "gängigen Browser benutzen" Käse: Der MSIE schleppt zum Beispiel eine Art "Patchnummer" im UA mit sich herum; bei Firefox steht das verwendete OS *sehr* genau da drin.
Hier könnten nur die Browserhersteller helfen, wenn sie ihre UAs *massiv* verkürzen. Statt "Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.1.8) Gecko/20100214 Ubuntu/9.10 (karmic) Firefox/3.5.8" dann eben nur "Firefox 3.5 Linux". Würde zudem die Leute freuen, die daraus irgendwelche Statistiken ziehen wollen, denn die müssen derzeit auch erstmal aus dem Wust die wenigen wichtigen Infos filtern und daher ständig die Abfragescripte ändern.
Also Lösungsansätze:
1. nicht an irgendwelchen Einstellungen, die vermeintlich für mehr Privatsphäre sorgen, herumdrehen
2. Finger weg vom UA; egal ob durch Exotenbrowser oder durch manuelle Veränderungen.
3. Flashblock und dann nur die Flash-Dinger starten, deren Sinn klar ist. Flash abschalten dürfte schon wieder eindeutiger werden
Ich möchte noch eine paar kleine Lösungsansätze hinzufügen:
4. Supercookie deaktivieren: about:config-> dom.storage.enabled auf false
5. Flashplugin mitteilen, dass man keine Kekse speichern möchte, dazu:
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager.html
nutzen
> 5. Flashplugin mitteilen, dass man keine Kekse speichern möchte, dazu:
Lieber per cron-job löschen oder BetterPrivacy nutzen. Manche Flash-Seiten funktionieren ohne die flash-cookies gar nicht, sagen aber auch nicht warum sie nicht funktionieren
Wenn man seinen offiziellen Firefox-Linux-String auf einen ebenso offiziellen und häufig(er) benutzten "Windows NT"-Firefox-String umstellt, dann bringt das schon etwas.
Statt
"Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.1.8) Gecko/20100214 Ubuntu/9.10 (karmic) Firefox/3.5.8"
benutzt man dann halt z.B.
Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8
oder
Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.1.8) Gecko/20100202 Firefox/3.5.8,
falls man weiterhin als deutscher Browser erkannt werden möchte.
Das bringt nur dort was, wo es dir sowieso egal sein könnte, ob hier jemand weis welchen Browser du verwendest, wenn jemand richtig Browser Fingerprinting betreibt um dich zu tracken, dann bringt so ein Käse wie UA String umstellen gar nix.
Ich glaube auch du hast noch nicht verstanden um was es hier geht. Du meldest dich z.B. bei irgendeinem Google Service mit deinem wahren Daten an, die können jetzt Fingerprint User zuordnen, ab sofort weis Google Wie Wann Wo welche Seiten du ansurfst un das mindestens bei 75% aller Seiten, denn bei 80% aller Seiten ist irgendein Google Mist includiert, sei es googleapi, urchin tracker, google-analytics ...
Das schöne für die ist nämlich jetzt, dass du dich z.B. nicht jedesmal bei dem Google Service anmelden musst, damit sie dich über die IP tracken können, so wie es früher mal gemacht werden musste.
Das Problem wird ja erst dadurch zu einem, dass jeder Webserver bzw. jedes Webangebot nur einen bestimmten begrenzten Besucherandrang hat.
Trotzdem halte ich es für falsch, die Flinte gleich ins Korn zu werfen.
Nur die von mir vorgeschlagene Umstellung von einem Linux- auf einen Windows-Firefox-String ließ das Problem, im Rahmen des EFF-Webangebots "unique" zu sein, von ca. einem in 600.000 Fällen auf einen in 45.000 Fällen sinken.
Google-Dienste, die eine Registrierung oder Anmeldung erfordern, nutze ich im übrigen nicht.
Wenn man Tor verwendet, kann man übrigens noch nicht einmal die Googlesuchmaschine benutzen. Das ist Dir aber bestimmt bekannt.
"Google-Dienste, die eine Registrierung oder Anmeldung erfordern, nutze ich im übrigen nicht. "
Geht mir ähnlich, nur das ich wenn nötig und falls möglich dann halt Fantasie Namen verwende.
Aber ganz konkret liegt das Problem hier aber hauptsächlich, wie vom EFF genannt, bei dem Browser. Mozilla als freier Browser sollte demnach vorpreschen und alles unternehmen um Fingerprinting zu erschweren.
Wie gesagt, in der Regel muss kein Webseitenbetreiber wissen, mit welcher Minornummer ein Plugin versehen ist.
Ich würde soweit gehen, dass ein Auslesen der Plugin-Liste *gar nicht* mehr möglich ist - für die Alternativhinweise, wenn das Plugin nicht da ist, sind sowieso in HTML andere Lösungen vorhanden. Und den UA eben auf die ersten zwei Versionsnummern und das grundlegende Betriebssystem verkürzen.
Und wie soll sich dann eine Webseite an dich anpassen können?
Es muß ja wissen was für Plugins du hast, damit es weiß was du nutzen kannst und was nicht und dementsprechend dann die Seite aufgebaut wird.
Eh, für den Gesamtbestand oder für das Einzelkriterium UserAgent? Das ist ja das Vertrackte an der Identifizierbarkeit: es kann einem passieren, dass bereits die Kombination zweiter für sich völlig gängiger Details so selten ist, dass sie als eindeutig ausreicht.
Genau diese Aussage ist nicht nur FALSCH, sondern mit Blick auf die Absicht dieser Aktion verheerend. Bei den Plugins bleibt das Ding nämlich klar weiterhin als Linux-Browser zu erkennen. Und die Kombination aus beidem macht dann die Sache einfach - wie viele Linux-Browser mit genau dieser Plugin-Kombination werden sich wohl als genau dieser Windows-Browser ausgeben? Genau: schon hamwa wat eindeutiges. Selbst der Gedanke die Ubuntu-Kennung rauszuwerfen, ist kontraproduktiv, da unter den Plugins mit Sicherheit ein paar Ubuntu-typische Versionsnummern sein werden, wodurch sofort wieder der UA-Fälscher von den echten unterschieden werden kann.
"Bei den Plugins bleibt das Ding nämlich klar weiterhin als Linux-Browser zu erkennen."
Was für Plugins? Ich habe keine eingeschaltet.
Selbst das Default-Plugin wird von mir gelöscht.
Surfen mit Plugins kommt bei mir sehr selten vor und erfolgt von einer anderen Linuxinstallation aus. Den größten Teil meiner Internetsitzungen "betreibe" ich ohne Plugins.
"wie viele Linux-Browser mit genau dieser Plugin-Kombination werden sich wohl als genau dieser Windows-Browser ausgeben?"
Sehr viele.
Ein Firefox 3.5.8 auf einem WinXP-System hat meist genau die von mir angegebene Kennung (je nach WinXP-Patchlevel). Viel auffälliger ist es, sich mit einem Linux- bzw. Ubuntu-String durchs Internet zu bewegen. Natürlich muß man bei all den Änderungen aufpassen, dass man keine Schreibfehler macht, weil man sich dann ansonsten selbst einen "immerwährenden Wiedererkennungs-Super-Cookie" verpasst hätte.
"Selbst der Gedanke die Ubuntu-Kennung rauszuwerfen, ist kontraproduktiv, da unter den Plugins mit Sicherheit ein paar Ubuntu-typische Versionsnummern sein werden, wodurch sofort wieder der UA-Fälscher von den echten unterschieden werden kann."
Völlig falsch. Ubuntu betreibt hier schließlich kein "Voodoo". Man nimmt die Strings, die man erhält, wenn man einen aktuellen Firefox von Mozilla.com herunterlädt und dann z.B. unter Windows XP startet.
Ich muß meine Kritik an Deinem letzten Punkt teilweise zurückziehen. Es existieren ja tatsächlich u.a. distributionspezifische Firefox-AddOns (Ubufox in Ubuntu und etwas Ähnliches nun auch in OpenSuse 11.2, die die eigenen Einstellungen unter .mozilla "überschreiben"). Das ist mit einer der Gründe, warum ich meist den Firefox von mozilla.com den distributionseigenen Mozillabrowsern vorziehe. Es dauert einfach zu lange, um herauszufinden, was z.B. dieses mir unbekannte Ubufox so "treibt" ("Extension package for Firefox provides ubuntu specific configuration defaults (...)").
Auch die Benutzung des offiziellen Linuxstrings des distributionsspezifischen Debian-Browsers verbietet sich natürlich, mit Iceweasels Standard-String fällt man auf wie ein bunter Hund.
Hinzu kommt natürlich das Problem mit den u.U. linuxspezifischen Systemschriften, was in die obige EFF-Erkennungsmethode ja mit einfließt.
Im Hinblick auf das Pluginproblem hast Du natürlich prinzipiell recht, man lässt sie dann am besten weg.
Zudem versteht es sich von selbst, dass das "in die Masse untertauchen wollen" nicht dadurch erkauft werden darf, dass man über eingeschaltete Plugins und eingeschaltetes Javascript möglichst viele eigene Browserdaten an unbefugte Webseiten sendet, nur, weil es fast alle tun.
Das eigentliche Problem ist, dass ein Browserhersteller wie Mozilla seine Haupteinnahmen von einem Werbegiganten bezieht, Linuxe wie Ubuntu bewegen sich in Teilbereichen in dieselbe Richtung. Von daher ist auf der Anbieterseite niemand interessiert, die Geschwätzigkeit der eigenen Browser standardmäßig abzustellen. Das Interesse, möglichst genaue Daten über die Internetsurfer zu erheben, die dazu genutzt werden können, genau passende und gut bezahlte Werbung zu schalten, überwiegt hier einfach.
> Wenn man seinen offiziellen Firefox-Linux-String auf einen ebenso offiziellen und häufig(er) benutzten "Windows NT"-Firefox-String umstellt, dann bringt das schon etwas.
Und die Marketingschreihälse schließen dann wieder daraus, daß kein Mensch Linux benutzt, kein Linux markt vorhanden ist und man als Linuxuser dann das Nachsehen hat.
Nein, es ist sinnvoller wenn man beim Windows Browser die Stringkennung auf Firefox Linux ändert.
Scheiß auf Fingerprinting. Der größte Datensammler ist doch der Staat mit all seinen Organisationen und Einrichtungen. Da melden wir uns schon bei Geburt an ohne das wir ein Veto einlegen können. Und alle Stellen sind fein miteinander vernetzt.
Dagegen ist doch ein bisschen Webtracking pillepalle.
Na, na... Sicher soll auch bei Vadder Staat die Datensammlung verhältnismäßig bleiben. Ganz abstellen lässt sie sich aber nicht, denn wie sollte sonst das ganze Gemeinwesen funktionieren? Private Datensauger finde ich deutlich bedrohlicher. Meine Meinung.
> Da melden wir uns schon bei Geburt an ohne das wir ein Veto einlegen können.
Grundsätzlich sollte man alle Staaten abschaffen, denn dann braucht man auch keinen Paß mehr um von A nach B zu reisen.
Es ist sowieso ne Sauerei, daß man an irgendwelchen Imaginiären Grenzen die sich eine Menschengruppe ausgedacht hat, nicht einfach weiterreisen kann.
Man stelle sich vor die Neandertaler hätten Grenzen gehabt wie heute, dann wäre der Homo Sapiens niemals nach Europa gelangt.
Am besten haben es noch die native Americans (Indianer) gemacht, die hatten keine Grenzen und jeder Europäer durfte in den Nordamerikanischen Kontinent einreisen.
Daher ergibt sich aber auch, daß die USA kein Recht hat als Staat zu existieren, denn man muß auch mir, da ich Europäer bin, das Recht gestatten einfach den Nordamerikanischen Kontinent zu besuchen und dort Land zu beschlagnahmen.