Bedrohungen der Anonymität des Netzes - Browserfingerabdruck und History-Stealing

on under asbach
2 minute read

Out Of Date Warning

This article was published on 02/02/2010, this means the content may be out of date or no longer relevant.
You should verify that the technical information in this article is still up to date before relying upon it for your own purposes.

Jüngst stieß ich bei Heise auf zwei Artikel, die die EFF beschreiben. Diese bieten einen Test an, ob man der bisher einzige Nutzer mit seiner Browserspezifikation ist. Dabei stieß (zumindest ich) auf interessante Erkenntnisse, dass nicht nur einer, sondern gleich mehrere Faktoren mich eindeutig identifizierbar mach(t)en:

  • HTTP ACCEPT Headers: Komischerweise ist dieser schon eindeutig
  • Installierte Fonts: Ubuntu mit allen Fonts die ich in den Repos gefunden habe + 2 Selbstruntergeladene = Eindeutig
  • Kombination aus Browserkennung (User Agent: X11, Firefox, sonstewas), installierten Plugins (kein pdf, aber flash)

Zudem gibt es noch weitere Faktoren… einfach mal ausprobieren. Die (De)Aktivierung von Javascript hat hierbei erhebliche Auswirkungen auf das Ergebnis.

Das diese Seite dies nun öffentlich zeigt, finde ich sehr gut, aber keiner weiß, ob ein paar der Softwaregiganten dies nicht schon seit einiger Zeit auswerten.

Um hier selber wieder anonym zu werden, muss man mindestens Javascript deaktivieren und den User Agent anonymisieren (User Agent Switcher für Firefox, aber auch TorButton ändert im aktiviertem Modus den User Agent auf einen Standardwert). Die HTTP Accept Headers lassen sich im FF unter about:config in der Einstellung network.http.accept.default ändern.

History-Diebstahl

Eine weitere Bedrohung der Anonymität durch ein History Auslesen ist das sogenannte CSS oder Javascript History Stealing. Das Prinzip ist recht einfach:

- Eine Seite hat eine Stange (eventuell per Positionierung versteckter) Links in ihrem Quelltext
- Der “Anbieter” legt für jeden Link eine CSS-Eigenschaft “visited”, die dem Link eigentlich ein anderes Hintergrundbild zuweisen soll
- dieses Bild ist allerdings nur ein Skript
- Beim Ansurfen werden nun die CSS Eigenschaften verarbeitet

CSS ist recht leicht zu verstehen, aber wesentlich effektiver scheint das per Javascript zu gehen. Auf mikeonads.com kann man testen, ob eine Bestimmung des eigenen Geschlechts einzig durch die Auswahl der Seiten in seiner History möglich ist. (Bei mir waren es 95% männlich, Glück gehabt :D)

Noscript (für Firefox) schützt hiergegen natürlich hervorragend.