Eure posts sind ein leuchtendes Beispiel dafür, warum einem die Lust daran vergehen kann, weiter die eigene Freizeit in manche Projekte zu investieren. Es gibt nun mal immer wieder (scheinbar auch in diesem Forum) Menschen, die sich ereifern, Andere zu beurteilen, aber sonst nichts zum eigentlichen Thema eines Threads beizutragen haben.
Privatsphäre Fingerprint Canvas bitte um Mithilfe
(Themenstarter)
Anmeldungsdatum: Beiträge: Zähle... |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 10 |
@ pefmo das hier ist nur für Dich, weil Du ja nicht erkennen kannst, warum ich dieses Projekt gestartet habe. 1. Es hat bereits funktioniert, weil der Panopticlick-Test aussagt, das schon genügend Browser mit gleichen Einstellungen vorhanden waren, um diese als "nicht mehr einzigartig" einzuschätzen. 2. Es wären zu einer universellen Nuzung durch die User noch einige Voraussetzungen nötig Um es Dir zu erklären : Nehmen wir an, Dein Browser hat einen einzigartigen Browser-Fingerprint und Du nutzt eine grosse Suchmaschine, die gerne Profile anlegt : Tag 1 : Du suchst nach : Kaffe, Tee, Zigaretten, Immobilien Die Suchmaschine speichert deine IP und speichert die Suchanfragen in Deinem angelegten Browser-Fingerprint-Profil. Tag 2: Du hast den Router resettet und Dir wurde eine neue IP zugeteilt. Du suchst nach Kaviar, grünen Bohnen, Dachziegeln, Zement. Die Suchmaschine erkennt die neue IP, ordnet aber über Deinen eindeutigen Browser-Fingerprint alles Deinem schon bestehenden Profil zu. Dann bestünde Dein Profil schon aus den Sucheinträgen: Kaffe, Tee, Zigaretten, Immobilien, Kaviar, grünen Bohnen, Dachziegeln, Zement zuzüglich zweier benutzter IP-Adressen. Die Liste Deiner Suchanfragen wird über einen gewissen Zeitraum sehr genau Auskunft über Deine Vorlieben und Lebensumstände geben. Und nun nehmen wir an, Dein Browser hat keinen eindeutigen Fingerprint sondern einen, der bei weiteren 1000 Usern vorkommt. Diese stellen mit anderen (und evtl. auch wechselnden) IP s am Tag ca. je 5 Anfragen an die Suchmaschine Anhand Ihrer Vorlieben. Dann bist Du ganz schnell bei 5000 verschiedenartigen Anfragen(plus Deiner 5), die die Suchmaschine pro Tag einem bestimmten Browser-Fingerprint-profil (Deinem - das Du mit 1000 weiteren teilst) zuordnet. Dieses Browserprofil wird in kürzester Zeit so universell sein, das es für die Suchmaschine wertlos wird : „Dieser User mit wechselnden 1001 IP s (aber mit dem gleichen Browser-Fingerprint) Interessiert sich für Alles“. Es kommt also gar nicht so sehr auf Deine jeweilige IP an, sondern auf die Masse der Daten, die anhand des Browser-Fingerprints in „Deinem+1000“ Profil landen. Diese Aussage lässt sich nätürlich auch auf andere „Sammelwütige“ Seiten übertragen. Das ist die Idee, die hinter dem Projekt steht. Und nun wäre es doch mal ganz nett von Dir, in einem post zu begründen, warum das Deiner Ansicht nach nicht funktionieren soll. Aber bitte ohne irgendwelche Angiffe persönlicher Natur ................. |
Anmeldungsdatum: Beiträge: 73 |
Danke für die Mühe und die freundliche persönliche Ansprache.
Das will ich dann auch tun. Ganz einfach, weil genau folgende Voraussetzung nicht gegeben ist:
Annehmen kann man viel - ob es den Tatsachen entspricht oder dieser Sachverhalt jemals erreicht werden kann, ist eine andere Sache. Daran habe ich eben Zweifel. Um diese noch ein wenig zu begründen: - meiner Erfahrung nach neigen gerade Linux-Nutzer dazu ihr OS sehr zu individualisieren, allein weil es dazu unzählige Möglichkeiten gibt. - Linux-Nutzer sind in der Regel Individualisten, also schwer auf eine Linie zu trimmen. - das Internet und die Browser sind in dynamischer Entwicklung. Da ändert sich ständig etwas. Ich glaube also nicht, daß sich der angestrebte Zustand herstellen und über längere Zeit wird durchhalten lassen. Obwohl ich meine, das Prinzip grundsätzlich verstanden zu haben. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 10 |
Hallo, pefmo Danke für Deine Antwort. Diese Zweifel des Einzelnen zu zerstreuen ist ja grade Sinn des Projektes. Es soll allen Usern (auch Dir) eine Möglichkeit geboten werden, sich mittels eines Schwarmes zumindest eine "teilweise" Privarsphäre zu erhalten. Deine Zweifel sind insofern berechtigt, als Du natürlich nicht wissen kannst, wieviele User mit Dir zur gleichen Zeit mit diesen Browsereinstellungen unterwegs sind. Wenn man die Sache aber zu einem einfachen Handling für Jedermann ausbauen würde, bin ich der sicheren Überzeugung, das mit Dir beim surfen genug andere User unterwegs sein werden. um Dich persönlich in der Masse nicht mehr identifizierbar zu machen. |
Anmeldungsdatum: Beiträge: 16 |
Hallo niewiederwindows, Hast du das Projekt noch in Bearbeitung bzw. führst du es noch fort.....falls ja wären neuerungen cool..... Ich kämpfe Teilweise immer noch mit darstellungsproblemen auf verschiedenen Seiten bei blockiertem Canvas Fingerprint, obwohl ich die Fake Funktion vom Canvas Blocker eigentlich für "Sicher" halte da dieser immer ein neues "unbekanntes Kennzeichen" erzeugt. Grüße 5849382 🤣 |
(Themenstarter)
Anmeldungsdatum: Beiträge: 10 |
Da mir das Thema zu wichtig erscheint, um es endgültig zu canceln und ich auch gebeten wurde, das Projekt weiter fortzuführen, nehme ich die Arbeit daran wieder auf. @ yakyak Du siehst an den Darstellungsproblemen bei verschiedenen Seiten, das die Seitenbetreiber offensichtlich einen blockierten Canvas-Fingerprint in ihrem Eröffnungsscript nicht mögen ….. Frage Dich : warum wohl ? Man wird das nicht verhindern können : aber man muss ja solche Seiten, die bisher noch in der Minderheit sind ja nicht unbedingt ansurfen. Da braucht es keinen Canvsa-Blocker oder RAS sondern einfach nur Java-Script ausschalten, dann geht auch das Canvas-Fingerprinting nicht mehr ….. aber wahrscheinlich auch die Website nicht. Was bleibt ist immer noch : sich dagegen mit den vorhandenen Mitteln zu schützen. @ Alle User, die diesen Thread verfolgen : Im LMU-Forum wurde die Schwarmbildung bezweifelt mit der Begründung, dass die IP ja nur .de wäre, und somit kein echter Schwarm zustande kommen könnte. Zur Erklärung : der Random Agent Spoofer ist dazu in der Lage, den Webseiten einen transparenten Proxy vorzugaukeln und damit auch die eigene IP zu verschleiern. Das Problem der Anpassung der Time-Zone ist auch gelöst, und mit einem weiteren Addon kann man die PS noch mehr „schärfen“. Diese ist das Addon Privacy Settings. Hier nochmal die Einstellungen beider Addons: Random Agent Spoofer (Firefox Addon) aktivierte Einstellungen: Profile Windows Browsers Firefox 45.0 ESR Headers Enable Do not Track Spoof via using a random IP Spoof x forwarded for using a random IP
die Verwendung eines transparenten proxy-servers vor, wobei die eigene IP als proxy-server übermittelt wird, und dann über x-forwarded eine existierende Auslands-IP als Empfänger der Datenpakete eingesetzt wird) Spoof Source Referrer Spoof Accept Spoof Accept Encoding Spoof Accept-Lanuage as en-US Options Enable Script-Injection Screen-Size Spoofing 1920x1080 Disable Canvas-Support Standard Options Limit detecteable Fonts Disable browsing and download history Disable webGL Disable webRTC Disable search-suggestions Disable dom-performance Disable dom ressource Timing Disable dom user timing Disable battery api Use click to play for plugins Block active mixed content Disable browser pings Disable web beacons Enable tracking protection Disable CSS visited links Cookie Options Cookie Policy : Block 3rd party Keep until : Browser is closed Reporting Options Disable safe browsing (Google) Disable safe browsing malware check (Google) Disable health report uploads Disable telemetry reports Privacy Settings (Firefox Addon) ------------------------------------------------------------------------- Privacy Settings (Firefox Addon) aktiviert mit Button Full privacy Ausnahme : dom storage enabled auf ON umgestellt Das ergibt beim panopticlick-Text dann folgende Ergebnisse: your browser has a non-unique fingerprint Within our dataset of several hundred thousand visitors, only one in 866.75 browsers have the same fingerprint as yours. Currently, we estimate that your browser has a fingerprint that conveys 9.76 bits of identifying information. Also beste Voraussetzungen für eine Schwarmbildung mit diesen Einstellungen, vor allem, wenn man auch die Win-User auf diese Addons und Einstellungen aufmerksam machen würde. Evtl. wäre zu überlegen, ob man noch mehr an die Einstellungen des Tor-Browsers herangeht, indem man die Time-Zone beim surfen ändert. Der Tor-Browser hat die Time-Zone : 0 Das wäre zu erreichen, in dem man den Firefox unter Linux mit diesen Attributen startet : TZ=UTC firefox Dann erhält man im panopticlick-Test (diese UTC-Einstellung hatten wir zuvor nicht getestet) immerhin folgendes Ergebnis: partial protection Within our dataset of several hundred thousand visitors, only one in 3305.69 browsers have the same fingerprint as yours. Currently, we estimate that your browser has a fingerprint that conveys 11.69 bits of identifying information. Ich werde weiter an dem Thema dranbleiben……. Bis dann. niewiederwindows Bearbeitet von sebix: Forensyntax eingefügt damit man den Beitrag halbwegs lesen kann. |
Anmeldungsdatum: Beiträge: 16 |
Hallo niewiederwindows, |
Anmeldungsdatum: Beiträge: 7943 |
Meiner Meinung nach sollte man Seiten wie https://panopticlick.eff.org/ nicht zu viel Aufmerksamkeit widmen. Zwar sind die dort aufgeführten Möglichkeiten einen Rechner wiederzuerkennen interessant, aber in der Praxis wird solch einen Aufwand keine normale Webseite auf sich nehmen und selbst wenn, dann ist die Reichweite gleich null bzw. auf diese eine Seite begrenzt.
Lediglich große Tracker oder Werbenetzwerke werden solche Techniken effektiv nutzen können und die kann man hervorragend mit dem Adblocker seiner Wahl kaltstellen. |
Anmeldungsdatum: Beiträge: 16 |
Hallo Vegeta, |
Anmeldungsdatum: Beiträge: 7943 |
Hallo yakyak, hast du ein paar Beispiele welche Webseiten so einen Aufwand betreiben? Normalerweise dürfte sich so was nur für Tracker rechnen, da nur sie eine große Reichweite haben und im Falle von Google mit seinem Google Analytics oder Facebook mit seinen Likeit-Wanzen nützt auch das Faken von Browserdetails nicht viel, da die IP-Adresse sich zu selten ändert. Da hilft eigentlich nur konsequentes Blocken. Grüße, |
Anmeldungsdatum: Beiträge: 16 |
Hallo Vegeta |
Anmeldungsdatum: Beiträge: 7943 |
Hallo yakyak, hmm, jetzt hatte ich gar keine E-Mail-Benachrichtigung auf dein Posting bekommen. Wie auch immer, ich denke nach wie vor dass hier ein bisschen zu hysterisch über dieses Thema debatiert wird. Einen Benutzer zu identifizieren, da gibt es sicherlich viele Möglichkeiten Canvas, ETag, Cookies, Flash-Cookies oder neue Techniken aus HTML5 wie Local Storage, Web Storage und was es da alles gibt. Daneben sind die Browser durch JavaScript sehr gesprächig und auch der UA verrät sehr viel und das kann man nicht faken, es sei denn man hat einen Proxy davor laufen. Man müsste schon JavaScript ausschalten und dann bliebe immer noch der UA, die IP-Adresse und vermutlich noch einige andere Dinge übrig (wie z.B. die Tatsache, dass nur die wenigsten Leute JavaScript ausgeschaltet haben und einen das wiederum ziemlich einzigartig macht). Wenn selbst eine große Webseite wie z.B. irgendeine überregionale Tageszeitung auf solches Tracking setzen würde, so würde dennoch nur diese eine Seite verwanzt sein und könnte einem nicht verfolgen, wenn man diese Seite wieder verlässt. So kann www.willhaben.at meiner Meinung nach bedenkenlos angesurft werden, wenn man das ganze Third-Party-Gedöns blockt: adition.com amazon-adsystem.com facebook.net googleadservices.com oewabox.at optimizely.com revsci.net Grüße, |
Anmeldungsdatum: Beiträge: 16 |
Hallo Vegeta, |
Anmeldungsdatum: Beiträge: 7943 |
Hallo yakyak, als Hysterie sehe ich schon an wie manche auf dieses Tracking reagieren, dann aber keinerlei Bedenken haben wie die Privatsphäre im RealLife immer mehr überwacht wird oder das Bargeld abgeschafft werden soll. Aber okay das ist eine andere Geschichte. Um zu einem Schlusswort zu kommen: Mit Blocken wirst du auf jeden Fall mehr erreichen als wenn du Daten fälschst, weil wenn du fälschst schickst du ja trotzdem Daten. Zum anderen würde ich jeden raten, wenn er denn wirklich Bedenken hat auf regelmäßig besuchten Seiten wiedererkannt zu werden, der muss sehr viel mehr machen. Wichtig ist es den Browser-Cache regelmäßig zu löschen, zudem müssen Third-Party-Cookies deaktiviert werden, Flash deaktivieren. Aber das alles schützt nicht vor diesen HTML5-Cookies. In allen Chrome-basierten Browsern (und ganz bestimmt auch Firefox) bleiben diese Daten erhalten, selbst wenn man unter Cookies "Lokale Daten beim Beenden des Browsers löschen" eingestellt hat und es kann nur manuell in der Cookie-Ansicht gelöscht werden. Dabei wird der Mist auf mehrere Verzeichnisse aufgeteilt, in Opera heißen sie IndexedDB, Local Storage, Databases, File System. Das alles muss regelmäßig gelöscht werden, wenn man nicht ohne Probleme getrackt werden will. Third-Party-Javascripte sollten generell geblockt werden, es empfiehlt sich auch dringend der Einsatz der EasyPrivacy oder anderer weiterer Listen. Die schlimmsten Tracker wie Google sollten in der Hosts-Datei eingetragen werden. VPN wurde ja bereits angesprochen und ist im Grunde zwingend, da sich die IP-Adresse heutzutage im schlimmsten Fall überhaupt nicht mehr ändert. Der Referer sollte nur ausgeliefert werden bei derselben Domain, der UA sollte sich regelmäßig ändern und auch dieser muss regelmäßig aktualisiert werden, da ja alle 6 Wochen neue Browserversionen rauskommen. Okay so viel von mir, damit verabschiede ich mich dann aus diesem Thread. Grüße, |