Beiträge von Fajärfocks-Jüser

Noch kleine Ergänzung zu Beruhigung: Die angabe von 83,6% einzigartigen und 5,3% "nur-2-deutigen" Browsern ist für die Praxis zu hoch gegriffen, da nur knapp eine halbe million Browser getestet wurde. In einer größeren Menge wäre die Eindeutigkeit kleiner. Fragt sich nur, wie viel kleiner.

Zitat

In this paper we investigate the real-world effectiveness of browser fingerprint-
ing algorithms. We defined one candidate fingerprinting algorithm, and collected
these fingerprints from a sample of 470,161 browsers operated by informed par-
ticipants who visited the website https://panopticlick.eff.org.

Zitat von Sören Hentzschel

Und unterstellst du gerade Mozilla, die Nutzer hinterhältig zu tracken, wenn sie den Mozilla Plugincheck benutzen um zu überprüfen, ob ihre Plugins aktuell sind?

Nein, ich bin mir mit absoluter Wahrscheinlichkeit sicher, dass Mozilla so etwas nicht tun würde. Es ergäbe auch keinen sinn!
Ich glaube, ich hätte anfangs die Formulierung "Was mich an der Plugin-Liste auch stört, ist..." so nicht verwenden sollen. Ich habe den Eindruck, dass du mir eine Paranoia gegenüber Firefox andichtest und mir diese krumm nimmst. Und du hast recht, der Mozilla-Browser tut wirklich viel für den Datenschutz seiner Kunden, anscheinend das meiste unter den verwendeten. Und nein, ich denke nicht, dass gerade der Mozilla-Browser irgendjemanden ausspionieren will.
Aber lass uns das Thema des Plugins-Array erstmal still legen. Da kommen wir nicht weiter.

Zitat von Sören Hentzschel

Entropie hin oder her, was genau meinst du, sagen diese Daten aus? Richtig, absolut gar nichts, was eine Erwähnung wert wäre.

Ich habe nie behauptet, diese Daten hätten eine Aussagekraft über den Benutzer als reale person, oder sonst irgend eine "innere" Information.

Es ist aber durchaus wahrscheinlich, dass die Gesamtinformation aus den Browserdaten eindeutig werden KANN (das heißt, sie MUSS nicht), also in der ganzen Welt so kein zweites mal vorkommt. Wenn ich auf mehreren Seiten war, die eigene, seltene Schriftarten verwenden und diese auf meinem Rechner hinterlegt haben, ist die Wahrscheinlichkeit klein, dass ein anderer Internetnutzer genau diese Schriftarten in genau dieser Reihenfolge installiert hat. Kann natürlich dennoch passieren. Die gleiche Geschichte mit Plugins und mimeTypen: die Menge der Plugins- und Versionen sowie mimeTypen wiederhohlt sich unter verschiedenen nutztern i.A. selten. Wenn ich auch noch an Browser- und Systemfarben rumdrehen sollte, ist die Wahrscheinlichkeit, dass exakt gleiche Farbwerte ein zweites mal eingestellt werden äuserst klein. Es sind immerhin 28x 24-Bit Farbwerte (http://bfp.henning-tillmann.de/)! Übrigens, der Student, der die Diplomarbeit schreibt, schreibt sie für den Informatik-Abschluss. Wurde ihn die Uni so eine Diplomarbeit schreiben lassen, wenn alles völliger Schwachsinn wäre?

Wenn ich das Kertesische Produkt aus den oben erwähnten und weiteren Eigenschaften bilde, wird die Gesamtmenge aus diesen Einzel-Informationen mit beachtlicher Wahrscheinlichkeit eindeutig. Wenn ich mich in diesem Punkt irre: Sag es!

Einige dieser Informationen, wie etwa Pluginversion sind natürlich zeitlich instabil, werden ja regelmäßig upgedated.

Auf diese Weise habe ich im Browser einen "Stempel" oder "Fingerabruck" der genauso gut funktionieren KANN, wie ein cookie. Ein mutmaßlicher Tracker, der Seitenübergreifend arbeitet und javascript ausführt könnte mich bei jedem Besuch einer solchen Seite wiedererkennen und aufzeichnen, welche Seite (z.B. Spiegel-Artikel) ich mir angesehen habe. Der fb-Button könnte diese Information sogar mit mir persöhnlich verbinden, wenn ich Taage zuvor bei fb eingeloggt war. Andere Dienste (google analytics, doubleclick) könnten das nicht, aber dennoch wäre es ihnen möglich, mich als anonyme Person über einen bestimmten, größeren Zeitraum (der von der Zeitstabilität des "Fingerabdrucks" abhängt) zu tracken.
Falls ich mich in diesem Punkt irre und z.B. der fb-Button nicht die vollständige url wissen kann, auf welcher ich mich befinde, wenn der Browser ihn ausführt: Korrigier mich bitte! Ich hab, wie ich schon gesagt habe, nur "offline"-Programmiererfahrung.

Hier noch eine Statistik zu der eindeutigkeit des Fingerprints von panopticlick:

Zitat

In this sample of privacy-conscious users, 83.6% of the browsers seen had
an instantaneously unique ngerprint, and a further 5.3% had an anonymity
set of size 2. Among visiting browsers that had either Adobe Flash or a Java
Virtual Machine enabled, 94.2% exhibited instantaneously unique ngerprints
and a further 4.8% had ngerprints that were seen exactly twice. Only 1.0% of
browsers with Flash or Java had anonymity sets larger than two. Overall, we
were able to place a lower bound on the ngerprint distribution entropy of 18.1
bits, meaning that if we pick a browser at random, at best only one in 286,777
other browsers will share its ngerprint.

Alles anzeigen

https://panopticlick.eff.org/browser-uniqueness.pdf auf seite 2

Zitat von Boersenfeger

Es sollte keinerlei Vorwurf werden, sondern lediglich den Vergleich zwischen Web und Leben, dass manch einer sich über Daten ins Web aufregt, aber andernorts sein reales Leben völlig preisgibt. Von Facebook und co fange ich erst gar nicht an...

Du hast insgesamt recht, aber ich finde, dass du es dennoch etwas zu oberflächlich siehst.

In der realen Welt werden die Daten, derzeit jedenfalls noch, weniger dicht gesammelt. Die Kameras gibt es nur ortsweise, z.B. in Läden und Bahnhofs. Auserdem wäre es aus Image-gründen für IKEA oder EDEKA eher bedenklich, ihre Kameras zur Marktforschung einzusetzen. Vor allem könnte es die Haupteinnahmequelle, gefährden! Auserdem gibt es auch juristische Hürden dagegen. Gleiches gilt in ähnlicher Weise für den Staat.

Der Unterschied im Internet ist aber: sieh dir doch eine beliebige internetseite heute an! Alles voller facebook- und anderer embedded objects. Und man kann leider auch nicht alle ohne erheblicher Funktionalitätseinbußen abschalten (Obwohl das Addon Ghostery da schon viel weiter hilft!). Solange das ganze über IP und coockies funktioniert, hat man die Tracking-Zeitdauer im Griff, aber den digitalen Fingerprint wird man sehr schwer los.
Nun zum finanziellen Aspekt: Im Unterschied zu EDEKA und IKEA finanzieren sich die Betreiber von fb, twitter, google und anderer embedden objects NUR über Werbung und Marktforschung. Und ihre Einnahmequelle, die Industrie/Gewerbe, wurden Anonymitätsbedenken der beobachteten Kunden höchstens indirekt interresieren, wenn etwa alle plötzlich paranoid werden und sich tarnen.
Auserdem waren die bisher genannten real-live-Tracking-Daten weniger persöhnlich. Ich muss herrn Börsenfeger durchaus recht geben, dass es keine so sensible Information ist, wo man sein Klopapier kauft. Aber wurdest du wollen, das man weiß, welche Zeitungsartikel und Videos du siehst?

Und noch zum Thema facebook: die sammeln deutlich mehr Informationen, als das, was du intern postest/likest.
Schon mal was vom datr-cookie gehört? http://www.netzwelt.de/news/89278-fac…ten-nutzer.html

Zitat von Sören Hentzschel

Ich kapier deine Logik ehrlich gesagt nicht und/oder verstehe nicht, worauf du hinaus möchtest. Soweit ich dich verstehe, störst du dich daran, dass ein Webseitenbetreiber Zugriff auf eine komplette Liste aller deiner aktivierten Plugins hat, er benötige ja nur Informationen über das Plugin, welches er benötigt. Sage mir mal bitte, wie man überprüfen soll, ob ein bestimmtes Plugin vorhanden ist, wenn man nicht Informationen über alle aktivierten Plugins hat? Natürlich musst du diese Informationen preisgeben, wenn eine Webseite die Chance haben soll, diese Information zu lesen. Und welche Plugins gelesen werden können, steuerst du, indem du Plugins aktivierst respektive deaktivierst.

Ja, man muss die gesamte Pluginliste haben, um Einzelne daraus herauszulesen. Aber kann das nicht der Browser selbst tun, quasi in einer "niedrigeren/betriebssystemnäheren schicht"? Wenn ich es richtig verstehe, wird das javascript von dem Browser ausgeführt. Man könnte ja die Abfrage so gestalten, dass das Javascript den Browser fragt "gib mir eine Referenz auf das Plugins mit dem Namen **PLUGINNAME**". Und der Browser gibt dann als Rückgabewert entweder die Referenz oder "nicht vorhanden" bzw "null/nil/0". Also, das Heraussuchen des richtigen Plugins aus der Liste kann doch der Browser übernehnen, dass muss doch nicht zwangsweise das Seiten-javascript tun?!

Natürlich könnte dann der "fiese tracker" immer noch nach unzähligen einzelnen plugins manuell fragen, aber das wäre aufwändiger und wurde an der Performance zerren. Auserdem wäre es sofort als Tracking-Versuch erkennbar, wenn ein script nach plugins fragt, die es nicht verwendet.

Zitat von Fajärfocks-Jüser

Gehe mal davon aus, dass sich schon genug sowohl Experten als auch "Experten" mit diesem Thema befasst haben...

Das haben bisher nicht so viele getan.
Vor 2 Jahren hat Electronic Frontier Foundation auf das Thema aufmerksam gemacht:
https://panopticlick.eff.org/
In diesem Jahr schreibt ein Berliner Student darüber eine Diplomarbeit:
http://bfp.henning-tillmann.de/
Und diese 2 Seiten beschäftigen sich damit ebenfalls: http://www.browserleaks.com/fonts, http://fingerprint.pet-portal.eu/?lang=en,

Und ich ich finde, die Gesamtheit an Daten ist doch wirklich sehr bedenklich! So eine PlugIn-, mineTypes, oder Fonts- Liste beinhaltet ja sehr viel "Entropie" in Version, Reihenfolge, Vorhandensein...

Beispiel Fonts: ich hatte ja meine oben erwähnten 2 besondere Fonts Calibri Light, Xirod. Wie ich inzwischen festgestellt habe, liegen sie in dem windows standart-fonts-Ordner. Diese 2 habe habe ich gelöscht, doch aus versehen auch den normalen (nicht- "-Light") Calibri-Font. Dadurch hatte ich schon einen rieseigen "one in x" Wert (leider nicht notiert) bei https://panopticlick.eff.org/. Also den Standart-Calibri Font wieder reinkopiert. Ratet man das Ergebniss...
Richtig! Ich wurde noch "einzigartiger": "one in x" wert von ca 3 mln. (=maximum bei panopticlick) Warum ?! Die Reihenfolge der Fonts hat sich geändert! Das heißt, jeder, der irgendwelche Fonts installiert oder deinstalliert, erteilt sich selbst ganz leicht eine einzigartige Fonts-Liste. Und vor allem: allein schon die Fonts-Reihenfolge beinhaltet ja N! Möglichkeiten. Wer sich N! nicht so gut vorstellen kann, siehe http://de.wikipedia.org/wiki/Stirlingformel

Dassele auch bei der angepassten Farbenpalette (der Test vom Studenten http://bfp.henning-tillmann.de/ kann sie auslesen). Kann jemand zwischen RGB-Wert 0xDDEEF1 und 0xDDEEF2 gut unterscheiden? Wohl kaum! Und wenn einer auf die Idee kommt, auf eigene Faust sich die Browserfarben einzustellen, hat sich schnell einen "fingerabdruck" im browser installiert, denn wie groß ist die Wahrscheinlichkeit, dass jemand anders die nummerisch exakt gleichen Farbwerte einstellt?

Zitat von Sören Hentzschel

Und wie soll ein Seitenbetreiber die Existenz eines Plugins o.ä. überprüfen, wenn er keine vollständige Liste aller hat?

Zitat von Bernd.

Wozu wird er das schon benötigen?

Ich meine, man kann die Plugins ja mit Namen statt der Indexnummer, also assoziativ aus dem "array" plugins aufrufen: http://de.selfhtml.org/javascript/objekte/plugins.htm
Wenn ich es richtig verstehe, kann man so das einzelne Plugin aufrufen, also benötigt man auch nicht das gesamte "array". Und die Abfrage läuft sogar schneller, da man keine for-schleife mit irgendwelchen vergleichen von plugin.name anstellen muss. In diesem Fall hätte man die Möglichkein mit dem ganzen Array und den Zahlen-Indizes auch ganz weglassen können. Also z.B. eine Funktion wie plugins.getPlugin( **name** ), um eine Referenz/Zeiger/?? auf das Plugin zu bekommen.
Oder: Kann man in javascript ein array rein-assoziativ anlegen?

Ich denke auch nicht, dass es in bösartiger Absicht so eingerichtet wurde. Es hat sich bisher nur weder jemand für Tracking über Browsereigenschaften, noch über die ewentuellen Folgen dieser Browser-Einzigartigkeit groß interresiert. Also haben die Entwickler das so eingerichtet, wie sie es eingerichtet haben. Tracker waren ja bisher auch mit cookies weitgehend zufrieden.

Jetzt aber zurück zu meinem Verfolgungswahn:
Ich habe meinen Fonts-Fingerprint mit dem eines "frischen" Systems (mit Flashplayer) verglichen, und: Die "frische" Fonts-Liste hat einen Fingerprint von nur 152.96. Meine alte Liste einen von 44322.92!

Jetzt drangsaliere ich mal meine Paranoia und veröffentliche meine Fonts details, Muahahahaha!:
Der Unterschied kommt von nur 2 Schriftarten: Calibri Light, Xirod (via flashplayer). Hat einer für mich einen Tipp, wie ich sie wieder los werde? Flash Plugin de- und neuinstallieren hat nix gebracht.

Ich will keine Shitstürme losbrechen und auch kein Plutonium an die Taliban oder die Al-Qaida verkaufen (für letzteres sind schon unsere Freunde von der CIA zuständig), also nichts assoziales oder illegales tun. Und ich weiß auch, dass ich über den ISP und die VPN zur Not immer zurückverfolgt werden kann (auser, ich nutze einen VPN aus China oder Iran. Und selbst das könnte schief gehen).

Grund für meine Paranoia ist die Vermeidbarkeit von Fingerprint-Trackinng (um cookies, trackerskripte und IP habe ich mich schon gekümmert) und ja, mir ist klar, dass diese "im prinpip" 1) nicht mit mir persöhnlich in Verbindung gebracht werden können und 2) zeitlich instabil sind.

Dennoch könnte man rein technisch 1) aufheben, wenn ich mich irgendwo, wo ich als reale person registriert bin einlogge und 2) könnte man auch "überbrücken" wenn ich z.B. eine Internetseite (oder eingebettete Inhalte) zu oft aufrufe, , so dass der Tracker den sich langsam ändernden Fingerprint immer aktuallisieren kann. Ein Informatikstudent http://bfp.henning-tillmann.de/ will letzteres untersuchen. Bin gespannt auf das Ergebniss!

Nun zurück zur Sache:

Zitat von Bernd.

capability.policy.default.Navigator.plugins.ge
Und damit hast du dir schon die beste Arschkarte geholt, damit wirst du auf nahezu jeder Seite, die irgendein Plugin benötigt, auf die Schnauze fallen, um das mal bildlich auszulegen. Plugins werden heutzutage nicht mehr hardcoded aufgerufen, sondern per JavaScript überprüft - und rate mal, woran es bei dir scheitern wird?

Das hast du leider recht . Es ist, wie ich inzwichen festgestellt habe, ohnehin die bessere Methode, Plugins einfach abzuschalten und nur bei Bedarf einzuschalten. Die Internetseite sagt in der Regel eh bescheid, welches Plugin in benötige (meistens flash). Es spricht aber auch nichts dagegen, brutale Alternativen anzusehen :lol: .

Was meinst du mit "hardcoded"?
Was mich an der Plugin-Liste auch stört, ist: Wozu braucht der Seitenbetreiber meine VOLLSTÄNDIGEN Plugins-, mime-, fonts- Listen? Es wurde doch ausrechen, einzeln zu prüfen, ob das benötigte Plugin (was meistens nur 1 Stück ist) und seine Version zu überprüfen?!

Habe einen anderen Befehl gefunden: Man kann eine Datei in die users.js im Profilordner erstellen und dort folgende Befehle reinschreiben:
user_pref("capability.policy.default.Navigator.plugins.get", "noAccess");
für die Sperrung der Plugin-Liste und
user_pref("capability.policy.default.Navigator.mimeTypes.get", "noAccess");
für die Sperrung der mimeTypen Liste.

Das Wiedereinschalten geht mit "allAccess" als letztes argument.

Gibt es vielleicht noch einen Befehl, mit dem man auch um die Fonts Liste zu verbergen kann?

PS: ist irgndwo die Variable/Eigenschaft/??? "...plugins.get" und "....mimeTypes.get"" erklärt? Werde bei google mit "plugins Object Javascript" nicht fündig.

Habe den aktuellen Befehl gefunden: Er heißt jetzt
user_pref("capability.policy.default.Navigator.plugins.get", "noAccess");
für die Sperrung der Plugin-Liste und
user_pref("capability.policy.default.Navigator.mimeTypes.get", "noAccess");
für die Sperrung der mimeTypen Liste.

Das Wiedereinschalten geht mit "allAccess" als letztes argument.

Gibt es vielleicht noch einen Befehl, mit dem man auch die Fonts Liste verbergen kann?

PS: ist irgndwo die Variable/Eigenschaft/??? "...plugins.get" und ".mimeTypes.get"" erklärt? Werde bei google mit "plugin Object Javascript" nicht fündig.

Sören Hentzschel: Danke für den Tipp.

Habe mir die Dateien angesehen.

Offensichtlich (ich kann C/C++, hab aber von Javaskript und Webprogrammierung keinen schimmer und "rate" den code aus analogien) wird, in der notracking.js geprüft, ob die checkbox gesetzt ist, und wenn ja

if (ntprefs.getPrefB("pluginsDisabled")) m.plugins = "{length:0}";

m.plugins = "{length:0}" gesetzt.

Wenn dadurch der m.plugins -string nicht mehr 0 zeichen lang ist, wird folgender Code ausgeführt:

if (m.plugins.length > 0) script    +=
    df("PluginArray", 'refresh', "function(p) {}")+
    df("PluginArray", 'item', "function(i) { return null; }")+
    df("PluginArray", 'namedItem', "function(i) { return null; }")+
    dg("PluginArray", 'length', "function() { return 0; }")+
    dg("navigator", 'plugins', "function() { d_T('plugins'); return PluginArray; }")+
    dg("navigator", 'mimeTypes', "function() { d_T('plugins'); return MimeTypeArray; }");

So wie es aussieht, erstellt er eine art Variable (stimmt es?! Korrigiert bitte wenn nicht) namens PluginArray und setzt sie mit dg("navigator", ... irgendwo in irgendeine Firefox-Datenbank ein. Das Gleiche mit dem MimeTypeArray.

Kann einer mir JavaSkript-Noob sagen, was er da konkret wo einsetzt oder zumindestens wie ich sowas manuell machen kann?

Wäre echt hilfsbereit.

Hallo Firefox-Gemeinde!

Ich bin auf das Fuchs-Addon FireGloves gestoßen. Dieses dient der Erschwerung des Browser-Finderprintings und hat u.A. die Einstellung "Disable PlugIn and mimeType lists" (<Icon> => Open Preferences => Cloak Settings). In der Hilfe (das Fragezeichen neben dem Häckchen) heißt es, es werden nun leere plugin/mime-listen gesendet, die Plugins würden aber weiter arbeiten.

Inwiefern Letzteres zutrifft sei erstmal zweitrangig Meine Frage ist:
1) WIE schafft es das Addon die Listen auszublenden? Kann man irgendwo den Programmier/Skriptcode (des Addons) einsehen, um so auf die entsprechenden about:config-Einstellungen (oder was auch immer) zu schließen?
2) Kennt ihr vielleicht solche Einstellungen mit denen man den Zugriff auf PlugIn-, mimeType- und am besten auch auf fonts- Listen verweigern kann?

@ Bernd. Danke für den Link.

Ich habe die user.js, wie beschrieben erzeugt und als "testfunktion" den Befehl pref("browser.chrome.site_icons", **true/false** ); getestet. Der Eintrag wird ordnungsgemäß bei about:config gesetzt und die icons dementsprechend angezeigt bzw. ausgeblendet.

Der Befehl pref("capability.policy.default.navigator.plugin", "noAccess"); funktioniert aber immer noch nicht, d.h. Plugins sind bei panopticlick immer noch sichtbar.

Ist der Befehl vielleicht veraltet? Und gäbe es dann Alternativen in der aktuellen Version?

Hallo Firefox-Gemeinde!

Ich versuche, meinen digitalen Finderabdruck (panopticlick.eff.org) zu verringern und anscheinend ist die grösste Quelle für Wiedererkennung von Nutzern die Auslesung der Plugin- und der Schriftarten- Details.

Um diese (und andere Browser-Details wie Auflösung, Zeitzone, ...) zu verbergen, bin ich auf folgenden Vorschlag gestoßen:

http://www.heise.de/newsticker/for…-18023719/read/

Dabei ging es anscheinend früher, Änderungen an den Security Policies von Firefox vorzunhmen, indem mann in die datei " .../Mozilla
Firefox/greprefs/all.js" programmbefehle wie

Zitat

pref("capability.policy.default.navigator.plugin", "noAccess");

und andere (siehe link) einfügte, die firefox anscheinend dann beim Start ausführte.

Inzwischen gibt es weder eine solche Datei noch das Verzeichniss. Ist es dennoch auf irgend eine Weise möglich, solche Änderungen vorzunehmen?

Edit 2002Andreas
Habe Deinen Beitrag mal nach Allgemein verschoben