Home / How-To / Software & Apps
How-To

Cookies 2.0: Tracking per Canvas-Fingerprint

Verfolgt und getrackt werden Online-Nutzer zu Werbezwecken zwar schon lange, doch das Canvas-Fingerprinting sorgt für eine neue Dimension. PC-WELT erklärt, was es damit auf sich hat.
Peter Stelzel-Morawietz
Von Peter Stelzel-Morawietz
PC-WELT
Spuren im Netz
Image: IDG

Was haben die Webseiten von T-Online, Peugeot, Computerbild, Kicker, Wetteronline und Adidas mit der des Weißen Hauses in Washington gemeinsam? Antwort: Die eindeutigen Fingerprints, mit denen sich dort die Browser und damit deren PC-Benutzer praktisch zweifelsfrei identifizieren lassen bzw. ließen. Die Vergangenheitsform ist deshalb an dieser Stelle wichtig, weil die Seitenbetreiber teilweise gar nichts von derartigen Praktiken wussten und sie nach dem Bekanntwerden umgehend abgestellt haben.

Universitätsstudie deckt das Fingerprinting auf

Wie kann es überhaupt passieren, dass die Online-Betreiber – glaubhaft – nichts von diesem Fingerprinting auf ihren Websites wussten? Dazu kurz zur Vorgeschichte: Im Sommer 2014 veröffentlichte die belgische Universität Leuven zusammen mit der US-Universität Princeton neue Erkenntnisse zum Einsatz von Fingerprints ( „The Web never forgets“ ). Dazu hatten die Forscher die weltweit 100.000 meistbesuchten Online-Seiten dahingehend untersucht, ob und wenn ja welche Methoden zur Browser- und Nutzeridentifizierung eingesetzt wurden. Im Fokus stand dabei neben den sich selbst immer wieder neu erzeugenden Evercookies und der Cookie-Synchronisation zwischen verschiedenen Werbenetzwerken das bis zu diesem Zeitpunkt öffentlich wenig bekannte Canvas-Fingerprinting .

T-Online, Kicker, ntv, Computerbild, Golem und Wetteronline sind nur einige von Tausenden Webseiten, die Canvas-Fingerprinting zum Tracker der User eingesetzt haben.
T-Online, Kicker, ntv, Computerbild, Golem und Wetteronline sind nur einige von Tausenden Webseiten, die Canvas-Fingerprinting zum Tracker der User eingesetzt haben.

Mehr als fünf Prozent der untersuchten Objekte, also mehr als 5.500 Webseiten, setzten Fingerprinting-Skripte ein, mit denen sich User auch ohne Cookies identifizieren lassen. Die veröffentlichte Liste zeigt über den Suchbegriff „.de“ nicht nur die betroffenen deutschen Domains, sondern auch die Fingerprinting-Domain bzw. den dahinter stehenden Dienst. Dabei steht der Bookmarking-Anbieter Addthis mit großem Abstand an der Spitze, gefolgt vom deutschen Online-Vermarkter Ligatus, der sich selbst als „Plattform für Premium-Performance-Marketing“ bezeichnet.

Spurenlos im Internet unterwegs

Bemerkenswert ist nun, dass der Großteil der betroffenen Seitenbetreiber von alle dem offenbar gar nichts wusste – und zwar wirklich plausibel. Denn die Unternehmen hatten ihre Online-Werbung wie durchaus üblich an einen externen Vermarkter abgewickelt, ohne dass dieser sie darüber informiert hätte. Einige betroffene deutsche Webseitenbetreiber finden dieses Vorgehen skandalös und distanzieren sich von solchen Methoden. Ligatus seinerseits räumt Versäumnisse ein, spricht von einem „Forschungsprojekt“ und schreibt: „Leider wurde durch ein internes Missverständnis eine entsprechende Vorabinformation über das Forschungsprojekt gegenüber den betroffenen Websites im Vorfeld versäumt – diese Kommunikationslücke bedauern wir sehr.“

Vertrauenssache: Der US-Bookmark-Dienst Add This bietet auf seiner Webseite eine Opt-Out-Funktion die das Tracken im Internet unterbinden soll.
Vertrauenssache: Der US-Bookmark-Dienst Add This bietet auf seiner Webseite eine Opt-Out-Funktion die das Tracken im Internet unterbinden soll.

Inzwischen setzt zumindest Ligatus eigenen Angaben zufolge keine entsprechenden Skripte mehr ein. Der weltweite Einsatz dürfte aber weiter gehen, wenngleich derzeit keine neuen Untersuchungen vorliegen, die das belegen. Letztlich war es Zufall, dass die IT-Experten dieser neuen Art von Browser- bzw. Rechneridentifizierung überhaupt auf die Spur gekommen sind. Der Untersuchungszeitraum beschränkte sich auf wenige Tage Anfang Mai 2014 und war vergleichsweise knapp bemessen. Wie lange diese Methoden bereits eingesetzt werden, bleibt somit unklar.

Canvas-Fingerprinting: Was ist das und wie funktioniert es?

Was nun genau verbirgt sich überhaupt dahinter? Canvas bedeutet übersetzt zunächst Leinwand oder Gemälde, in HTML versteht man darunter ein Bild, das per JavaScript erstellt wird – und zwar aus Farbverläufen, Zeichnungen, Grafiken sowie aus Text. Canvas wird unter anderem für animierte Grafiken verwendet, ist Teil des HTML5-Standards und wird von allen aktuellen Browsern unterstützt.

So weit, so gut. Dass sich Canvas-Elemente zum Identifizieren und damit zum Tracken eignen, liegt daran, dass die damit erzeugten Grafiken auf verschiedenen Rechnern und mit verschiedenen Browsern nicht absolut identisch sind. Diesen Effekt haben zwei Wissenschaftler schon vor gut zwei Jahren entdeckt . Was mit dem bloßen Auge nicht zu erkennen ist, weil die Abweichungen eben nur minimal sind, offenbart der Quelltext der Bilder: Sie unterscheiden sich, und zwar systemspezifisch. Ein Rechner mit einem bestimmten Browser erzeugt eine individuelle Grafik, die sich in eine spezifische Daten-URL bzw. einen spezifischen Hash-Wert umwandeln lässt. Zahlreiche Beispiele im Internet zeigen, wie Canvas-Elemente einen spezifischen Fingerprint bzw. Hash-Wert erzeugen, so z.B. das amerikanische Journalistennetzwerk Pro Publica . Probieren Sie es einfach einmal aus und klicken Sie mehrfach auf dem gleichen PC und mit demselben Browser auf das „Browser Fingerprint“-Element. Die angezeigte ID ist stets exakt die gleiche. Es sei denn, Sie wechseln den Rechner oder auch nur den Browser!

Gleicher PC, aber unterschiedliche Browser: Google Chrome (links) liefert für die gleiche eingebettete Canvas-Grafik eine völlig andere ID als der Firefox-Browser (rechts).
Gleicher PC, aber unterschiedliche Browser: Google Chrome (links) liefert für die gleiche eingebettete Canvas-Grafik eine völlig andere ID als der Firefox-Browser (rechts).

Normalerweise bekommt man von alledem nichts mit, denn die Prozesse laufen automatisch ab und die Bilder sind versteckt und somit nicht sichtbar. Da sich ID oder Hashwert einer Canvas-Grafik z.B. regelmäßig an einen Server schicken lassen, identifiziert dasselbe Element auf einer anderen Webseite den Anwender bzw. seinen PC eindeutig: In größerem Stil eingesetzt lässt sich so das Surfverhalten aufzeichnen und damit gezielt Werbung schalten.

Die radikale Lösung: Skripting im Browser ausschalten

Zunächst soll klar sein, was nicht gegen diese neue Methode des Rechner- und User-Tracking hilft, nämlich die traditionellen Methoden. Privater Surfmodus, das Löschen von Cookies, die Do-Not-Track-Einstellung im Browser oder auch das Verschleiern der eigenen IP-Adresse durch einen VPN-Dienst (Virtual Private Network) nützen hier nichts. Schließlich wird bei der Identifizierung per Fingerprint der Hashwert gerade nicht lokal gespeichert, sondern bei jedem Seitenaufruf neu erzeugt wird. Der TOR-Browser weist – im Gegensatz zu Chrome, Firefox, Internet Explorer, Opera und Safari – immerhin auf die Canvas-Bilddaten von Websites hin und bietet die Option, dies zu unterdrücken.

Der TOR-Browser weist schon in der Standardkonfiguration auf Canvas-Elemente auf Webseiten hin und bietet die Möglichkeit, die Ausführung zu verhindern.
Der TOR-Browser weist schon in der Standardkonfiguration auf Canvas-Elemente auf Webseiten hin und bietet die Möglichkeit, die Ausführung zu verhindern.

Schon erwähnt wurde, dass das Fingerprinting auf dem Ausführen von JavaScript basiert. Eine radikale Lösung ist deshalb, JavaScript komplett abzuschalten. Im Firefox-Browser tippen Sie dazu in die Adresszeile „about:config“ ein, drücken die Enter-Taste und bestätigen den Warnhinweis „Ich werde vorsichtig sein, versprochen!“. Scrollen Sie zum Eintrag „javascript.enabled“ und klicken Sie mit der rechten Maustaste darauf. Sobald Sie im Kontextmenü auf „Umschalten“ klicken, springt der Wert rechts von „true“ auf „false“: JavaScript ist damit deaktiviert.

Im Chrome-Browser klicken Sie rechts oben auf das „Einstellungen“-Symbol gefolgt von „Einstellungen -> Erweiterte Einstellungen anzeigen -> Inhaltseinstellungen (unter „Datenschutz“) -> Ausführung von JavaScript für keine Website zulassen“. Im Internet Explorer klicken Sie oben in der Menüleiste auf „Extras -> Internetoptionen -> Sicherheit -> Stufe anpassen“ und scrollen bis zum „Scripting“ vor. Die Änderung beim „Active Scripting“ auf „Bestätigen“ oder „Deaktivieren“ bewirkt, dass der Browser JavaScripts nur auf Aufforderung oder gar nicht ausführt.

Das Ausführen von JavaScript lässt sich in allen Browsern unterbinden (im Bild der Internet Explorer): Damit ist auch die Identifizierung per Canvas-Fingerprint unmöglich.
Das Ausführen von JavaScript lässt sich in allen Browsern unterbinden (im Bild der Internet Explorer): Damit ist auch die Identifizierung per Canvas-Fingerprint unmöglich.

Maßnahmen gegen Fingerprinting und Identifikation sind mühsam

Wer JavaScript komplett ausschaltet, bekommt schnell die Nachteile vor Augen geführt. Denn oft können ganze Teile von Webseiten nicht mehr angezeigt und genutzt werden, das Deaktivieren ist also mit einem erheblichen Verlust der Alltagstauglichkeit verbunden.

„Diese Seite benötigt JavaScript. Bitte ändern Sie die Konfiguration Ihres Browsers.“ Das Surfen mit deaktiviertem JavaScript ist mitunter erheblich eingeschränkt.
„Diese Seite benötigt JavaScript. Bitte ändern Sie die Konfiguration Ihres Browsers.“ Das Surfen mit deaktiviertem JavaScript ist mitunter erheblich eingeschränkt.

Für Nutzer des Chrome-Browsers existiert mit Chameleon eine Erweiterung, die etwas anders arbeitet als der bereits genannte TOR-Browser. Ein Teil der in der Praxis fürs Fingerprinting eingesetzten Canvas-Elemente wird von ihr automatisch blockiert, aber eben nicht alle.

Allerdings existiert Chameleon noch nicht in einer fertigen Extension im Chrome Web Store, der Autor beschreibt die Software ausdrücklich als „pre-alpha, developer-only software”. Dementsprechend gibt es auch keine Erweiterung zur schnellen Installation, das müssen Sie vielmehr manuell erledigen. So geht’s: Laden Sie Chameleon beim Entwickler herunter und entpacken die Zip-Datei. In der Adresszeile des Chrome-Browsers tippen Sie nun „chrome://extensions“ ein, bestätigen mit der Enter-Taste, aktivieren oben rechts den „Entwicklermodus“ und binden anschließend über die Schaltfläche „Entpackte Erweiterung laden“ aus dem entpackten Ordner der Zip-Datei („chameleon-master.zip“) den „Chrome“-Unterordner ein. Die Extension-Seite zeigt daraufhin die neue Erweiterung an. Den Entwicklermodus schalten Sie wieder ab.

Rechts oben in der Browser-Ecke sehen Sie jetzt ein neues grünes Icon, das beim Aufrufen praktisch jeder Webseite eine rot unterlegte Zahl einblendet: Je höher diese ist, desto mehr Versuche zum Sammeln von Informationen wurden detektiert und desto wahrscheinlicher ist das Erstellen einen Fingerprints. Blocken kann Chameleon die Skripts allerdings noch nicht, diese Funktion soll in einer späteren Version folgen.

Trotzdem ist die Erweiterung nützlich gegen Fingerprints, weil sie ähnlich wie der TOR-Browser standardisierte Werte vortäuscht. Wie gut dies funktioniert, zeigt ein Test der amerikanischen Electronic Frontier Foundation (EFF): Rufen Sie im Browser das Panopticlick-Projekt auf und klicken Sie auf den roten „Test me“-Button. Die Ergebnisse mit und ohne Aktivierung der Chameleon-Erweiterung unterscheiden sich fundamental: Die Wahrscheinlichkeit über Fingerprinting eindeutig identifiziert zu werden reduziert sich um mehr als das 1.500-fache, wie sich aus dem Verhältnis der Zahlen in der folgenden Abbildung ergibt.

Der Test der Electronic Frontier Foundation zeigt den Unterschied: Während der Browser – und damit der PC – normalerweise eindeutig zu identifizieren ist (unten), sieht es mit der Chameleon-Erweiterung (oben) anders aus.
Der Test der Electronic Frontier Foundation zeigt den Unterschied: Während der Browser – und damit der PC – normalerweise eindeutig zu identifizieren ist (unten), sieht es mit der Chameleon-Erweiterung (oben) anders aus.

Zum gleichen Ergebnis kommt der Cross-Browser Fingerprinting Test 2.0 : Auch hier erscheint der gleiche Rechner mit unterschiedlichen Browsern stets mit der gleichen, individuellen ID. Das ändert sich erst wieder nach dem Aktivieren der Chrome-Erweiterung.

Cookies: So überwachen Sie Ihre Spuren im Web

Fazit: Canvas-Fingerprinting nur eine weitere Tracking-Methode

Als die Ergebnisse zum Canvas-Fingerprinting vorgestellt wurden, war die öffentliche Empörung groß. Das lag nicht zuletzt daran, dass die verwendete Methode bis dahin kaum bekannt war – selbst die Betreiber der betroffenen Webseiten wussten (teilweise) nichts davon, weil sie die Online-Vermarktung an externe Dienstleister vergeben hatten.

Nüchtern betrachtet handelt es sich bei Canvas nur um eine weitere Art zum Tracken des Surfverhaltens und der Interessen, um daraus passende Werbung zu schnüren. Fingerprints an sich sind nichts Neues: Der Berliner Informatiker Henning Tillmann kam in einer Untersuchung schon Ende 2012 zu dem Ergebnis, dass über 90 Prozent der PCs eindeutig identifizierbar sind – einfach durch das automatisierte Auslesen diverser Informationen wie Betriebssystem, Bildschirmfarben, installierte Schriftarten, Plugins und so weiter. Neu sind also weder Tracking noch Fingerprints, vielmehr war es die eingesetzte Methode, die überraschte – etwas mehr Transparenz wäre da wünschenswert gewesen.

Zugegebenermaßen macht es die Canvas-Technik für Anwender wieder etwas schwieriger, sich dagegen zu wehren. Andererseits zeigt der TOR-Browser, dass dies möglich ist. Andere Projekte wie Chameleon haben den Schutz für die Zukunft angekündigt. Schließlich sei angemerkt, dass es bei alledem nicht um das Abgreifen persönlicher Daten geht.

vgwort

Peter Stelzel-Morawietz schreibt über die Themen vernetztes Zuhause, Windows, Internet und Internet of Things, Cloud, GPS und Navigation, Digitalradio sowie IT im Alltag und Integration im Auto

Aktuelle Beiträge von Peter Stelzel-Morawietz: