Tracking ohne Cookies und IP – Fingerprinting via Browserinfo

Tracking user-agent

2010 startete die EEF (Elektronic Frontier Fundation) das Projekt Panopticlick um heraus zu finden, ob die scheinbar harmlosen Browser-Informationen (wie der User Agent String und installierte Plugin- Versionen und Schriftarten) dazu genutzt werden können, um einen eindeutigen Fingerabdruck zu bilden. Das Ergebnis war verblüffend: 84% der Browser konnte eine eindeutige Konfiguration nachgewiesen werden. Unter Browsern die entweder Flash oder Java installiert hatten, lag die Trefferquote sogar bei 94%. Insgesamt besaß nur 1% der Browser einen Fingerabdruck der entweder doppelt oder öfter vorkam. Auch bei Veränderung der Systemkonfigurationen ließen sich die Browser recht zuverlässig wiedererkennen. Hierzu wurde der Algorithmus vermutlich dahingehend angepasst, dass die Entropie (=der mittlere Informationsgehalt) einiger Parameter verkleinert wurde, so dass Veränderungen sich weniger auf das Ergebnis auswirkten. In diesem Fall sei es sogar gelungen 99,1% aller Browser wiederzuerkennen - mit einer Fehlerquote von gerade einmal 0,87%.

Verstecken sogar Kontraproduktiv

Die Experimentatoren des EEF stellten auch fest, dass sich viele Methoden zur Steigerung der Privatsphäre sogar kontraproduktiv auswirken können: So verstärkten z.B. Flash-Blocker oder durch Zufallsgeneratoren veränderte User-Agent-Strings sogar die Eindeutigkeit des Fingerabdrucks. Dies gelte, laut EEF, zumindest so lange, bis ein größerer Teil der User solche Plugins verwendet.   

Starkes Interesse der Werbeindustrie

Besonders im Bereich des Performance-Marketings wie z.B. Affiliate-Marketing, oder Pay per Click Werbung ist ein gutes Unique-Lead-Tracking unerlässlich um z.B. korrekte Abrechnungen für Affiliate-Partner zu erstellen. Viele Dienstleister haben diesen Bedarf mittlerweile erkannt und ihr Tracking, unter Einbeziehung der Erkenntnisse des EEF, entsprechend verbessert. So verspricht z.B. die auf Performance-Werbung spezialisierte Springer-Tochter Zanox, Tracking auch ohne Cookies. Das Unternehmen reagierte darauf, dass immer mehr Nutzer Cookies blockieren um sich vor Tracking zu schützen. 

Wie kann man sich schützen?

Sich gegen die Erzeugung eines Browser-Fingerabdrucks zu wehren, gestaltet sich schwieriger als man zunächst denken möchte. Die Initiatoren des Panopticlick-Experiments geben hier einige Tipps, wie man sich gegen das Tracking wehren kann:

  • Verwendung möglichst herkömmlicher Browser wie Firefox oder Chrome
  • Deaktivierung von Javascript im Browser 
  • Verwendung des TorButtons
  • Den Anonymous-Tab des Browsers nutzen

Dennoch bleiben diese Methoden, aufgrund der eindeutigen IP-Adresse des Nutzers, weiterhin, zumindest für die Dauer einer üblichen Websession, wenig effektiv. Technisch gesehen ließe sich das Fingerprint-Tracking, z.B. durch ein Browserplugin verhindern das bei jedem Seitenaufruf eine neue, und möglichst typische Konfiguration der getrackten Parameter erzeugt. Leider konnten wir, trotz längerer Recherche, kein Plugin finden, dass diese Methode anwendet.