Von Selectel: Dieser Artikel ist der erste einer Reihe von Übersetzungen eines sehr detaillierten Artikels über Browser-Fingerprinting und die Funktionsweise der Technologie. Hier finden Sie alles, was Sie schon immer wissen wollten, aber zu diesem Thema nie zu fragen wagten.
Was sind Browser-Fingerabdrücke?
Dabei handelt es sich um eine Methode, die von Websites und Diensten zur Besucherverfolgung verwendet wird. Benutzern wird eine eindeutige Kennung (Fingerabdruck) zugewiesen. Es enthält viele Informationen über die Browsereinstellungen und -funktionen der Benutzer, die zu ihrer Identifizierung dienen. Darüber hinaus ermöglicht das Browser-Fingerprinting Websites, Verhaltensmuster zu verfolgen, um Nutzer später noch genauer zu identifizieren.
Die Einzigartigkeit entspricht in etwa der von echten Fingerabdrücken. Nur Letztere werden von der Polizei zur Fahndung nach Tatverdächtigen eingesammelt. Die Browser-Fingerabdrucktechnologie wird jedoch überhaupt nicht zur Verfolgung von Kriminellen eingesetzt. Schließlich sind wir hier keine Kriminellen, oder?
Welche Daten erfasst ein Browser-Fingerabdruck?
Dass eine Person per IP verfolgt werden kann, wussten wir bereits zu Beginn des Internets. Aber in diesem Fall ist alles viel komplizierter. Der Browser-Fingerabdruck enthält eine IP-Adresse, aber das ist bei weitem nicht die wichtigste Information. Tatsächlich benötigen Sie keine IP, um sich zu identifizieren.
Laut der Studie Der Browser-Fingerabdruck umfasst:
- Benutzeragent (einschließlich nicht nur des Browsers, sondern auch der Betriebssystemversion, des Gerätetyps, der Spracheinstellungen, der Symbolleisten usw.).
- Zeitzone.
- Bildschirmauflösung und Farbtiefe.
- Supercookies.
- Cookie-Einstellungen.
- Systemschriftarten.
- Browser-Plugins und ihre Versionen.
- Besuchsprotokoll.
Laut der EFF-Studie ist die Einzigartigkeit des Browser-Fingerabdrucks sehr hoch. Wenn wir über Statistiken sprechen, kommt es nur einmal in 286777 Fällen zu einer vollständigen Übereinstimmung der Browser-Fingerabdrücke zweier verschiedener Benutzer.
Laut mehr Die Genauigkeit der Benutzeridentifizierung mithilfe eines Browser-Fingerabdrucks beträgt 99,24 %. Durch die Änderung einer der Browsereinstellungen verringert sich die Genauigkeit der Benutzeridentifizierung nur um 0,3 %. Es gibt Browser-Fingerabdrucktests, die zeigen, wie viele Informationen gesammelt werden.
So funktioniert das Browser-Fingerprinting
Warum ist es überhaupt möglich, Informationen über den Browser zu sammeln? Es ist ganz einfach: Ihr Browser kommuniziert mit einem Webserver, wenn Sie eine Website-Adresse anfordern. Im Normalfall weisen Websites und Dienste dem Benutzer eine eindeutige Kennung zu.
Zum Beispiel kann die „gh5d443ghjflr123ff556ggf“.
Diese Folge zufälliger Buchstaben und Zahlen hilft dem Server, Sie zu erkennen und Ihren Browser und Ihre Präferenzen mit Ihnen zu verknüpfen. Den Aktionen, die Sie online durchführen, wird ungefähr derselbe Code zugewiesen.
Wenn Sie also bei Twitter angemeldet sind und dort Informationen über Sie vorliegen, werden alle diese Daten automatisch derselben Kennung zugeordnet.
Natürlich wird dieser Code nicht für den Rest Ihrer Tage bei Ihnen sein. Wenn Sie das Surfen von einem anderen Gerät oder Browser aus starten, wird sich höchstwahrscheinlich auch die Kennung ändern.
Wie sammeln Websites Benutzerdaten?
Dabei handelt es sich um einen zweistufigen Prozess, der sowohl auf der Serverseite als auch auf der Clientseite funktioniert.
Serverseitig
Site-Zugriffsprotokolle
In diesem Fall handelt es sich um die Erfassung der vom Browser gesendeten Daten. Zumindest das hier:
- Das angeforderte Protokoll.
- Die angeforderte URL.
- Deine IP-Adresse.
- Referent.
- User-Agent.
Schlagzeilen
Webserver erhalten sie von Ihrem Browser. Header sind wichtig, da sie Ihnen die Gewissheit geben, dass die angeforderte Website mit Ihrem Browser funktioniert.
Anhand der Header-Informationen kann die Website beispielsweise erkennen, ob Sie einen Desktop oder ein mobiles Gerät verwenden. Im zweiten Fall erfolgt eine Weiterleitung auf eine für Mobilgeräte optimierte Version. Leider landen dieselben Daten auch in Ihrem Fingerabdruck.
Haken
Hier ist alles klar. Webserver tauschen immer Cookies mit Browsern aus. Wenn Sie in den Einstellungen die Möglichkeit festlegen, mit Cookies zu arbeiten, werden diese auf Ihrem Gerät gespeichert und an den Server gesendet, wenn Sie eine Website besuchen, die Sie bereits zuvor besucht haben.
Cookies helfen Ihnen, komfortabler zu surfen, geben aber auch mehr Informationen über Sie preis.
Leinwand Fingerabdruck
Diese Methode nutzt das HTML5-Canvas-Element, das WebGL auch zum Rendern von 2D- und 3D-Grafiken im Browser verwendet.
Diese Methode „zwingt“ den Browser normalerweise, grafische Inhalte, einschließlich Bilder, Text oder beides, darzustellen. Für Sie ist dieser Vorgang unsichtbar, da alles im Hintergrund abläuft.
Sobald der Vorgang abgeschlossen ist, wandelt das Canvas-Fingerprinting die Grafiken in einen Hash um, der zu der sehr eindeutigen Kennung wird, über die wir oben gesprochen haben.
Mit dieser Methode können Sie die folgenden Informationen über Ihr Gerät abrufen:
- Grafikadapter.
- Grafikkartentreiber.
- Prozessor (sofern kein dedizierter Grafikchip vorhanden ist).
- Installierte Schriftarten.
Clientseitige Protokollierung
Dies bedeutet, dass Ihr Browser viele Informationen austauscht dank:
Adobe Flash und JavaScript
Laut FAQ Wenn Sie JavaScript aktiviert haben, werden Daten über Ihre Plugins oder Hardwarespezifikationen nach außen übertragen.
Wenn Flash installiert und aktiviert ist, erhält der externe „Beobachter“ noch mehr Informationen, darunter:
- Deine Zeitzone.
- OS Version.
- Bildschirmauflösung.
- Eine vollständige Liste der im System installierten Schriftarten.
Haken
Sie spielen eine sehr wichtige Rolle bei der Protokollierung. Daher müssen Sie in der Regel entscheiden, ob Sie die Verarbeitung von Cookies durch Ihren Browser zulassen oder diese vollständig löschen möchten.
Im ersten Fall erhält der Webserver lediglich eine große Menge an Informationen über Ihr Gerät und Ihre Vorlieben. Wenn Sie keine Cookies akzeptieren, erhalten Websites dennoch einige Daten über Ihren Browser.
Warum brauchen wir Browser-Fingerprint-Technologie?
Grundsätzlich geht es darum, dass der Gerätenutzer unabhängig davon, ob er über ein Tablet oder ein Smartphone auf das Internet zugreift, eine für sein Gerät optimierte Seite erhält.
Darüber hinaus wird die Technologie für Werbung genutzt. Es ist einfach das perfekte Data-Mining-Tool.
Beispielsweise können Lieferanten von Waren oder Dienstleistungen nach Erhalt der vom Server gesammelten Informationen sehr gezielte Werbekampagnen mit Personalisierung erstellen. Die Targeting-Genauigkeit ist viel höher als die Verwendung nur von IP-Adressen.
Werbetreibende können beispielsweise Browser-Fingerprinting verwenden, um eine Liste von Website-Benutzern zu erhalten, deren Bildschirmauflösung als niedrig bezeichnet werden kann (z. B. 1300*768), die im Online-Shop des Verkäufers nach besseren Monitoren suchen. Oder Nutzer, die einfach nur auf der Seite surfen, ohne die Absicht, etwas zu kaufen.
Die gewonnenen Informationen können dann genutzt werden, um Anzeigen für hochwertige, hochauflösende Monitore gezielt an Nutzer mit einem kleinen und veralteten Display zu richten.
Darüber hinaus wird die Browser-Fingerabdrucktechnologie auch verwendet, um:
- Betrugs- und Botnet-Erkennung. Dies ist eine wirklich nützliche Funktion für Banken und Finanzinstitute. Sie ermöglichen es Ihnen, das Benutzerverhalten von der Aktivität der Angreifer zu trennen.
- Definition von VPN- und Proxy-Benutzern. Geheimdienste können diese Methode nutzen, um Internetnutzer mit versteckten IP-Adressen aufzuspüren.
Selbst wenn Browser-Fingerprinting für legitime Zwecke verwendet wird, ist es letztendlich immer noch sehr schädlich für die Privatsphäre der Benutzer. Vor allem, wenn letztere versuchen, sich mit einem VPN zu schützen.
Außerdem können Browser-Fingerabdrücke der beste Freund eines Hackers sein. Wenn sie die genauen Daten Ihres Geräts kennen, können sie spezielle Exploits nutzen, um das Gerät zu hacken. Daran ist nichts Kompliziertes – jeder Cyberkriminelle kann mit einem Fingerabdruck-Skript eine gefälschte Website erstellen.
Denken Sie daran, dass dieser Artikel nur der erste Teil ist, es werden noch zwei weitere folgen. Sie diskutieren die Rechtmäßigkeit der Erhebung personenbezogener Daten der Nutzer, die Möglichkeiten der Nutzung dieser Daten und Methoden zum Schutz vor zu aktiven „Sammlern“.
Source: habr.com