Webtracking erlaubt die langfristige Beobachtung des Nutzungsverhaltens von Website-Besuchern. Dafür ist eine individuelle Identifizierung und Verfolgung der Besucher nötig. Anhand von Merkmalen wie Cookies, Zählpixeln, der IP-Adresse und dem „User-Agent“-String, der Browser- und Betriebssystemversion enthält, lassen sich die meisten Nutzer verfolgen. Mit einer kürzlich vorgestellten Methode lassen sich jedoch auch Nutzer identifizieren, die als Gegenmaßnahme z.B. mehrere Browser einsetzen.
Neue Tracking-Technologie
In ihrem Paper „(Cross-)Browser Fingerprinting via OS and Hardware Level Features” stellen Sicherheitsforscher der Lehigh-University (Pennsylvania, USA) eine Technik vor, mit denen Websitebesucher browserunabhängig anhand von Betriebssystem- und Hardwaremerkmalen identifiziert werden können. Die unterschiedlichen Merkmale – zu einem „Fingerabdruck“ zusammengefasst – versprechen laut Autoren eine 99-prozentige Trefferwahrscheinlichkeit.
36 Merkmale für 99-ige Trefferwahrscheinlichkeit
Die vorgestellte Methode, einen solchen Browser-Fingerabdruck zu ermitteln, basiert auf der Ausführung von unterschiedlichen Rechenoperationen, die der Browser beim Besuch der trackenden Website durchführt. Diese Rechenoperationen bedienen sich unterschiedlicher Funktionen des Betriebssystems und der Hardware. Gemessen wird die Dauer, die der Browser für die einzelnen „Rechenaufgaben“ benötigt. Diese Rechenzeiten unterscheiden sich von Computer zu Computer so stark, dass sie zusammengenommen einen eindeutigen, browserunabhängigen Fingerabdruck ergeben. Insgesamt werden hierfür 36 Merkmale ermittelt, darunter unter anderem 20 Rechenoperation zur Darstellung von 3D-Inhalten auf Webseiten.
Gegenmaßnahmen
Um die für die Methode benötigten Rechenoperationen durchzuführen, muss dem Browser die Ausführung von JavaScript erlaubt sein. Dies ist standardmäßig bei allen üblichen Browser aktiviert. Die Deaktivierung von JavaScript ist eine einfache Gegenmaßnahme, die das Internet-Erlebnis jedoch stark trüben kann, da JavaScript zur Darstellung von dynamischen Webseiten nahezu unabdingbar geworden ist. Hier empfehlen sich daher Browser-Plugins wie z.B. NoScript (Firefox), JS Blocker (Safari) oder Scriptsafe (Chrome), die das gezielte Erlauben oder Verbieten von JavaScript für bestimmte Seiten benutzerfreundlicher gestalten.