Zitat von wm44Dazu müsste jeder PC seine eigene Atomuhr haben, denn nur so würde die Differenz auch konstant bleiben.
Nicht einmal dann, denn auch Atomuhren driften - nur auf einem sehr viel niedrigeren Niveau. Eine absolut genau gehende Uhr gibt es nicht.
Ich weis ja nicht was alles unter "private Daten" fällt im Eingangsposting, aber über die Browser History kann man den User auch zurückverfolgen, aufgrund der Tatsache das besuchte Links über die CSS Klasse visited in einer anderen Farbe dargestellt werden können. Um das auszulesen braucht man aber Javascript.
Zitat von Lord-Ali...
Ein Freund erzählte mir das und meinte auch dass es in heise mal stand. Würde mich auf ein Link freuen....
Du meinst diesen Link hier?
Dürfte ausserhalb vom 'Labor' ziemlich aufwendig werden mMn.
Zitat von dabbeljuDu meinst diesen Link hier?
Dürfte ausserhalb vom 'Labor' ziemlich aufwendig werden mMn.
Nach den Kernaussagen des Artikels braucht man sich darüber IMHO überhaupt keine ernsthaften Sorgen zu machen.
An individuellen Abweichungen der TCP-Zeitstempel kann man bei mäßig großen Gruppen (einige Dutzend bis wenige Hundert PCs) und hinreichender Beobachtungszeit im Stundenbereich einzelne Rechner wiedererkennen.
Gruß
Werner
Aber mit der Browsergröße kann man auch leicht erkenne ob es der gleiche User ist, aber nur wenn JavaScript aktiviert und der Browser nicht maximiert ist.
Der eine oder andere Surft mit miniemirter Browsergröße, welche er sich auch selber angepasst hat. Und bei einer Auflösung von 1280x1024 kommen schon locker über eine Millionen Möglichkeiten wie groß der Browser ist. Lässt sich ja leicht mit JS auslesen. Die Größe wird auch gespeichert wenn man den Browser schließt und später wieder öffnet. Wollte es nur mal sagen da es Theoretisch möglich ist, auch wenn nicht ganz zuverlässig.
Achja, und danke dabbelju für den Link.
Hallo,
was wäre wenn Sie einfach einen anderen Browser benutzen? Kann er sie dann immer noch erkennen?
Mento fragte:
was wäre wenn Sie einfach einen anderen Browser benutzen? Kann er sie dann immer noch erkennen?
Ja - über die browserunabhängige JS-Scriptzeilenauswertung:
"a href="#" onclick="browser()">Browsergröße ermitteln</a"
Ein Browserwechsel würde meines Wissens nach nur den User-Agent verändern, der clientseitig jedoch manipulierbar ist, bzw. sich über einen lokalen Proxy herausfiltern lässt.
Meiner Meinung nach reichen die durch einen Browser übermittelten Werte (durch JavaScript) alleine nicht aus um einen User zuverlässig wiederzuerkennen. In Verbindung mit Cookies, Flash- oder Java-Applets sähe das bereits anders aus. Es ist eher die Menge der übertragbaren und verwertbaren Daten, die somit zu einer User-Recognition führen können.
Oliver
Also an Java scheint es nicht zu liegen.
Ich habe Java und JavaScript im Firefox deaktiviert und die Mumm Seite erkennt einen immer noch. 
Also mit ner neuen IP kann ich mehrmals bewerten.
Cookies sind blockiert (damit auch mozStorage), JavaScript temporär zugelassen. LSO sind deaktiviert.
Bist du wirklich sicher, dass du jedes mal die gleiche Person bewertet hast?
Ja, habe den gleichen Eintrag ausgewählt.
Was ist denn LSO
Local shared objects - wurde zuvor schon angesprochen (Flash "Cookies").
Dann ist es für mich nicht nachvollziehbar, warum du nicht wiedererkannt wirst und andere schon... 
Gnorf fragte:
Was ist denn LSO?
Er meinte eine besondere Form von Cookie, der über den Adobe Flash Player (ab v.6) zugeteilt wird.
Einige Flash-Applets können bis zu 100KB an (String-Data) Informationen in solchen Local Shared Objects abrufbar ablegen. (normaler Cookie nur 4KB).
Aus diesem Grunde alleine ist Flash meiner Meinung nach mit Vorsicht zu geniessen...
nicht die Cookies selber, aber die Applets, die in solche Cookies schreiben können.
Oliver
Einige Flash-Applets können bis zu 100KB an (String-Data) Informationen in solchen Local Shared Objects abrufbar ablegen. (normaler Cookie nur 4KB).
Wenn man die Rechte gewährt.
Dann ist es für mich nicht nachvollziehbar, warum du nicht wiedererkannt wirst und andere schon...
Also ich habe es jetzt nochmal getestet. Ich hatte vorher Firefox und Opera offen und da ging es. Jetzt habe ich es mit dem Fx allein versucht. Zu beobachten war bei mir, dass weder Cache noch History eine Rolle spielten. Das Auswerten mit JavaScript und CSS wird scheinbar nicht eingesetzt. Das schlichte Holen einer neuen IP reichte im Test auch nicht aus. Das zusätzliche Ändern des User Agent genügte aber reproduzierbar. Deswegen klappte es wohl auch zuvor mit Opera und Firefox.
Also nochmal angepasst:
Cookies/LSO deaktiviert
Neue IP + anderer User Agent
Neue Bewertung kann abgegeben werden (und ja für den selben Eintrag).
boardraider schrieb:
[...]]Neue IP + anderer User Agent...[...]
IP-Adressen, (ausser die physikalischen Adressen über DSL), UA-Kennung, etc. sind unsicher, und nicht geeignet einen Nutzer zuverlässig wiederzuerkennen - wie Du es bereits gesagt hattest - gleiches gilt für die "php"-Referrer-Prüfungen (wird vom FF ohnehin unterdrückt).
Nach meiner Erfahrung führen nur:
a. Das Deaktivieren der Java-Script-Funktionen innerhalb des eingesetzten Browsers.
b. Das Regelmäßiges Löschen der kompletten und angelaufenen Internet-Historie. (Löschen aller Daten nach jeder Surf-Session / auch alle Cookies).
c. Die Vermeidung von zusätzlichen BHO´s oder "Sekundär-Applikationen" (z.B. Flash), die in den Browser integriert werden können.
d. Das Herausfiltern des User-Agents (nicht das Ändern) über einen lokalen Proxie-Filter.
...zu einer langfristigen und zuverlässigen User-Anonymität.
Eine mögliche Wiedererkennung des Users gegenüber einer bereits von ihm genutzten und vertraulichen Webseite, sollte nur durch eine persönliche und zeitlich befristete Eingabe seiner Nutzer-Daten - z.B. über HTTP-Auth und auch nur für die jeweilige Session aufrecht erhalten werden. (Browser-Shutdown > Session-Ending). Alles andere ist Spielkram und dient bloss der Bequemlichkeit.
Oliver
b. Das Regelmäßiges Löschen der kompletten und angelaufenen Internet-Historie. (Löschen aller Daten nach jeder Surf-Session / auch alle Cookies).
In der Hinsicht könnte auch das Segmentieren des Caches oder der History weiterhelfen (vgl. http://crypto.stanford.edu/sameorigin/).
c. Die Vermeidung von zusätzlichen BHO´s oder "Sekundär-Applikationen" (z.B. Flash), die in den Browser integriert werden können.
Da warte ich sowieso noch darauf, dass bei solchen "Sekundär-Applikationen" eine GUID eingeführt wird und diese dann von jedem Flash-Filmchen an den Host übertragen wird. 
d. Das Herausfiltern des User-Agents (nicht das Ändern) über einen lokalen Proxie-Filter.
Das sehe ich nicht so eng, dass ich den aktuellen Firefox unter Linux verwende darf die "Gegenseite" ruhig wissen. Sehe ich als Promotion :wink:
Alles andere ist Spielkram und dient bloss der Bequemlichkeit.
Oder wie in dem Fall zur Verhinderung eine Manipulation, auch wenn es halt nie 100% klappt, wenn man sich auf diese Technologien stützt.
Mit Änderung "User Agent" meist du verschieden Browser, oder?!
Jein. Ein Webserver kann nicht wissen, welches Client-Programm die HTTP-Anfrage an ihn sendet. Freundlicherweise schicken die Clients daher im HTTP-Header ein User-Agent-Feld mit, in dem sie sich beschreiben. Im Regelfall hat somit jeder Browser einen anderen UA-String.
Mein aktueller wäre:
Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.1) Gecko/20061208 Firefox/2.0.0.1
Bei manchen Browsern kann man den UA-String aber verändern, die Browser geben sich dann als ein anderer aus. Opera hat diese Funktion schon sehr lange. Mit Firefox ist das auch kein Problem, da gibt es eine gutes Add-On dafür. Den Test habe ich daher nur mit dem Firefox durchgeführt, aber mit verschiedenen UA-Strings. War halt bequemer :wink:
ich habe mal verschiedene Anonymisierungs-Programme ausprobiert, drei die fast alle Daten ausfiltern erreichen die Mumm-Seite entweder gar nicht oder bekommen den Flash nicht angezeigt, mit JAP dagegen kann man alles sehen ABER wird man erkannt!
Gnorf fragte:
Oliver222
Auch wenn ich technisch nicht alles nachvollziehen kann, was du schreibst, führt deine Vorgehensweise nicht dazu, dass viele Internetseiten überhaupt nicht mehr nutzbar sind?
Das ist richtig - Nur da beisst sich die Katze in den Schwanz, denn viele Webseiten implementieren gerade nur deshalb Flash und Script-Spielereien, um den Anwender zu der Installation bzw. Aktivierung dieser zu veranlassen - und das nicht ganz ohne Grund. Unter dem Aspekt des Gläsernen Surfers gilt im Internet zunehmend der Grundsatz des "Gegenseitigen Einvernehmens" - was soviel bedeutet wie: Erst gibst Du Informationen über dich Preis, dann bekommst Du die Webseite in ihrer vollen Funktion zu Gesicht. Es ist Deine Entscheidung, ob Dir jede solcher Internetseiten die Zuschaltung von Flash und JavaScript oder andere BHO´s wert ist, denn über diese gibst Du indirekt Informationen über Dich und Dein User-Verhalten weiter.
[...] ist es dir denn möglich, auf der Mumm Seite den gleichen Beitrag mehrfach zu bewerten, da sie dich nicht wiedererkennt?
Ja.
foxifire schrieb:
[...] mit JAP dagegen kann man alles sehen ABER wird man erkannt.
Das kann ich mir kaum vorstellen. Wurdest Du auf der Zielseite zuverlässig erkannt, dann kann es nach meiner Meinung nur an einer fehlerhaften Konfiguration JAP´s oder an separaten Browser-Programmen (BHO´s / Flash etc.) liegen, die am Anonymisierungsdienst vorbeifunken und somit auf Dein System zugreifen und den Dienst damit ad absurdum führen konnten. Nach meinen Informationen werden nur die reinen HTTP-Anfragen des Browsers anonym geroutet. Sofern zusätzlicher ext. ScriptCode nicht über einen lokalen Proxy (Proxomitron oder Privoxy) abgefangen wird, ist dieser über die Headerinformationen der Webseiten unverschlüsselt übertragbar und somit auch serverseitig auslesbar, bzw. protokollierbar.
The author recommends Tor users turn off Flash, ActiveX, Java, Javascript. He's careful to point out that this isn't actually a problem with Tor itself; it's the user being exposed by normal web technology.
http://tech.netscape.com/story/2006/10/…onger-anonymous
http://www.gurusheaven.de/security/usertracking.htm
http://anon.inf.tu-dresden.de/help/jap_help/noactive_de.html
Oliver
