Browser-Fingerprinting

Eine Diplomarbeit zum Thema Browser-Fingerprinting hat ein Student aus Berlin geschrieben.

Beim Browser-Fingerprinting geht es im wesentlichen darum, den Browser eines Besuchers auf einer Webseite eindeutig zu erkennen und von anderen zu unterscheiden. Dafür werden möglichst viele Parameter des Browser ausgelesen und gespeichert. Kommt der Besucher wieder, liest man wieder aus, und vergleicht. Sind die Werte ähnlich genug, handelt es sich vermutlich um die gleiche Person oder zumindest den gleichen Computer. Da die meisten Computer Mehrbenutzerfähig sind, und die meisten Personen somit über eigene Profile verfügen, kann man in den meisten Fällen auch von der gleichen Person ausgehen.

Wikipedia: Browser-Profil

Nun hat ein Student in seiner Diplomarbeit eine Test-Website aufgesetzt, und die Sache analysiert:

Die Website ermittelte im Hintergrund – natürlich mit Zustimmung der Nutzer – Informationen über den verwendeten Browser, das genutzte Betriebssystem, Systemfarben, installierte Schriftarten und Plugins, u. v. m. In einer anschließenden Analyse konnte ich zeigen, dass nach einer technisch notwendigen Bereinigung knapp 93% der digitalen Fingerabdrücke in dem Untersuchungszeitraum einzigartig waren.

Warum sind knapp 93% der Fingerprints einzigartig?
Natürlich sind selbst 23.000 Fingerprints im Vergleich zu allen onlinefähigen Endgeräten weltweit wenig, dennoch ist es relativ einfach, eine einzigartige Systemkonfiguration zu erreichen. Sind beispielsweise zwei außergewöhnliche Schriftarten installiert und die Desktop-Hintergrundfarbe nicht schwarz, blau oder weiß ist die Wahrscheinlichkeit sehr hoch, dass in der Stichprobe dieser Fingerabdruck einzigartig ist. Selbst global gesehen, wird es wenige oder gar keine weitere Computer mit eben solch einer Konfiguration geben.

Verändern sich Browser Fingerprints?
Ja, aber nur nach längerer Zeit und dann bei nur wenigen Merkmalen. Bei knapp 90% der Teilnehmer, die mehrfach an unterschiedlichen Kalendertagen teilgenommen haben, änderten sich höchstens drei Merkmale – bei knapp 60% sogar gar keins.

Könnte man Veränderungen erkennen und bei einem erneuten Aufruf einer Website dem richtigen Gerät zuordnen?
Ja. Ist der ursprüngliche Fingerprint X hinreichend aussagekräftig, kann durch ein relativ simplen Algorithmus eine (ziemlich sichere) Vermutung aufgestellt werden, dass der neue Fingerprint Y ursprünglich einmal X war.

Gibt es einen Unterschied zwischen Desktop-Computern und Smartphones?
Ja, generell gilt der Grundsatz: Je stärker sich ein System anpassen lässt, desto eindeutiger der Fingerprint. Beispiel iPhone: Das iPhone-Betriebssystem iOS lässt keine Installation von Schriften zu, ebenso können keine weiteren Plugins installiert werden. In der Feldstudie stammten 356 Fingerprints (aus der bereinigten Menge F“‘) von einem iPhone, wobei es 89 unterschiedliche Ausprägungen der Merkmale gibt. Dies entspricht lediglich 25%.

Kann ich mich vor Browser Fingerprints schützen?
Jein. Einige Merkmale werden generell immer übertragen, andere können nicht mehr abgerufen werden, falls der Nutzer JavaScript oder Flash deaktiviert. Dadurch wären aber viele Websites nicht mehr nutzbar. Generell ergibt sich durch jede Schutzmaßnahme das Dilemma, dass dadurch das Gerät wieder einzigartiger wird. Bitte beachten Sie das entsprechende Kapitel in der Diplomarbeit.

Lesenswert: Der Blog-Artikel des Verfasser mit Download der Diplom-Arbeit und der Rohdaten. Kleine Zusammenfassungsartikel gibt es hier: heise, golem