Nachdem ich im letzten Beitrag das „Canvas Fingerprinting“ als jüngstes Beispiel für User-Tracking-Techniken vorgestellt habe, möchte ich in diesem Beitrag weitere Technologien vorstellen und erklären, warum diese Vielfalt überhaupt entstanden ist. Auch möchte ich auf die im Stern aufgeworfene Frage eingehen, ob und wie sich die Benutzer gegen User-Tracking wehren können.

 

Warum gibt es eigentlich immer wieder neue Technologien zum User-Tracking?

Sind Werbeblocker wirklich nutzlos gegen Canvas Fingerprinting & Co.?

 

 

Fotolia_49009530_M

Warum gibt es eigentlich immer wieder neue Technologien zum User-Tracking?

Im Wesentlichen ist das User-Tracking eine Art Rüstungswettlauf zwischen Werbetreibenden und Werbeblockern. Der http-Standard bietet mit Cookies seit den 90ern (RFC 2109) die Möglichkeit, Client-Systeme wiederzuerkennen (und damit auch zu tracken). HTML 5 bietet mit dem Ping-Attribut eine verfeinerte Möglichkeit zum User-Tracking. Da viele Benutzer nicht beobachtet werden möchten, haben sie Möglichkeiten gefunden, das zu unterbinden. Und weil viele Serverbetreiber (insbesondere die Werbebranche) dennoch Einblicke in das Nutzerverhalten erhalten wollen, werden immer wieder neue Wege zur Nutzeridentifikation gesucht, die dann aber auch umgehend neue Ausweichstrategien nach sich ziehen.

 

Einige Beispiele dieses Wettlaufs sind:

 

Evercookies bzw. Respawning: Die oben genannten (http-)Cookies aus den 90ern waren als Mechanismus gedacht, mit dem der Client eine geringe Datenmenge zwischen mehreren Seitenaufrufen speichern kann. Im Laufe der Zeit wurde die Browserfunktionalität durch verschiedene Plug-Ins ergänzt. Einige der Plug-Ins (insbesondere Flash) bieten unabhängige Funktionen, um ebenfalls gewisse Daten client-seitig zu speichern. Eine Zeit lang war es beliebt, zusätzlich zu einem http-Cookie einfach eine gleichlautende Information mit Plug-In-Funktionen zu speichern. Wurde der http-Cookie gelöscht, konnte er durch das Plug-In wiederhergestellt werden. Mittlerweile sind auch die Plug-Ins datenschutz-freundlicher geworden, so dass diese Technik an Zuverlässigkeit verloren hat.

 

Cookie Syncing: Eindeutige Kennungen werden zwischen verschiedenen Domains ausgetauscht. Löscht der Benutzer gezielt die Cookies einiger Anbieter, können sie mit Hilfe anderer Anbieter wiederhergestellt werden.

 

Fingerprinting: Browser übermitteln bei jeder Anfrage Angaben zu ihrer Version und zum Betriebssystem. Weitere Merkmale (Zeitzone, Bildschirmgröße, installierte Schriftarten) können mit JavaScript abgefragt werden. Zusammengenommen lassen sich dadurch Systeme recht gut identifizieren. Diese Technik hat die Besonderheit, dass sie weitgehend (notfalls auch komplett) serverseitig durchgeführt werden kann, und dann vor dem Benutzer verborgen bleibt. Neu an Canvas Fingerprinting ist, dass damit der Privacy-Modus, den viele moderne Browser unter anderem gegen die genannten Techniken anbieten, ausgehebelt werden kann. Canvas Fingerprinting kann ein System also gerade dann identifizieren, wenn der Benutzer dies explizit nicht wünscht. Allerdings wäre das oft auch schon serverseitig durch einen Vergleich der IP-Adressen möglich – die werden durch den Privacy-Modus auch nicht verändert.

Sind Werbeblocker wirklich nutzlos gegen Canvas Fingerprinting & Co.?

Eigentlich nicht. Zwar haben zahlreiche Blocker diesen neuen Schritt im Wettrüsten noch nicht vollzogen, aber technisch ist es ohne weiteres möglich, das Canvas Fingerprinting zu umgehen. Das TOR-Projekt bietet beispielsweise bereits seit Juni 2012 einen universellen Schutz dagegen an.

 

Die Online-Zeitschrift „ProPublica“ hat in ihrem Artikel zum Thema ein Proof of Concept angeboten. Um das überhaupt zum Laufen zu bringen, musste ich meinen Werbeblocker „NoScript“ ausstellen und die Seite mehrmals neu laden. In dem Fall hat mein Werbeblocker also einwandfrei funktioniert. Nun ist „NoScript“ zwar einerseits ein unheimlich nützliches Tool, andererseits für die meisten Anwender schlicht zu unhandlich. Und ProPublica hat verständlicherweise auch keine Anstalten unternommen, den Blocker zu umgehen, sondern es ihm sehr leicht gemacht, da das Proof of Concept von einem fremden Server stammt.

 

Die Besonderheit, dass Werbung im Internet oft nicht mehr auf demselben Server liegt wie der Content, sondern von spezialisierten Anbietern kommt, wird auch von anderen Werbeblockern genutzt, beispielsweise „Disconnect“ oder „AdBlockPlus“. Diese Tools blockieren die Verbindung mit den Werbeservern anhand von Blacklists. Dadurch wird auch Canvas Fingerprinting unterbunden, allerdings nur, solange es durch einen Werbungsdienstleister erfolgt. Wenn diese (oder ähnliche) Technik(en) durch den Server eingesetzt werden, der auch den Content liefert, sind die Blacklists tatsächlich wirkungslos.


 

Vincent Wolff-Marting
Vincent Wolff-Marting ist seit 2013 bei den Versicherungsforen Leipzig, wo er die Leitung des Kompetenzteams »Digitalisierung & Innovation« übernommen hat. Nachdem er einige Jahre als wissenschaftlicher Mitarbeiter an den Universitäten Essen und Leipzig tätig war, bringt er nun sein fundiertes (IT-)Wissen in der Versicherungspraxis ein. Er ist Ansprechpartner für alle Themen im Bereich der Versicherungsinformatik, Digitalisierung und Innovation und begleitet Versicherungsunternehmen bei Strategie- und Entwicklungsprojekten.