Browser Fingerprinting....

[schorsch_76]

Oh je.... Mein Browser verrät 17.74 Bits an Info zum tracken sogar mir Trackingprotection....

Ist das viel oder wenig? Oder zu viel?

[1] https://coveryourtracks.eff.org/

[DeletedUserReAsG]

Wenn du etwas runterscrollst, siehst du die einzelnen Punkte samt Erläuterungen und Vergleichswerten dazu.

[rodney]

<scnr>ueber 17 Bit sind mir eindeutig zuviel, zumal ich eher Edelstoff gewohnt bin</scnr>

Also bei mir kommt als Ergebnis "Currently, we estimate that your browser has a fingerprint that conveys 16.76 bits of identifying information", was schonmal ein bit weniger als bei dir ist

Was das jetzt genau bedeutet kann ich dir nicht sagen, aber ueber der bit-Angabe steht bei mir (und wahrscheinlich auch bei dir): "Our tests indicate that you have strong protection against Web tracking." - aber auch keine Ahnung wie diese Angabe zu bewerten ist, zumal der Browser nur einer der Tracking-Faktoren ist.

[schorsch_76]

Ich hab noch den Torbrowser probiert. Der hat 15.x Bits ... auch nicht viel weniger ..... .

[mludwig]

Mich würden ja die 2 Nachkommastellen bei den identifizierenden Bits interessieren. Wie sehen denn diese Bits aus? Sind die analog? Wenn ja wie werden die dann gemessen? Fragen über Fragen ...

[MSfree]

Wie sehen denn diese Bits aus? Sind die analog?

Das ist doch nur der Logarythmus zur Basis zwei von der Wahrscheinlichekitszahl, mit der dein Browser identifiziert werden kann.

Wenn man deinen Browser mit einer Wahrscheinlichkeit von eins zu 400000 identifizieren kann, dann sind die entsprechenden Bits

Log2(400000) = 18.61.

Der Firefox unter Debian und unter Win10 wird z.B. mit etwa 1:380000 wiedererkannt = 18.54.
Beim Safari auf einem iPad komme ich auf 15.4 Bits = 1:43000.

[mludwig]

Mein Post war nicht ganz ernst gemeint, aber dennoch:

Sollte man dies dann nicht besser auch als Wahrscheinlichkeit hinschreiben, denn mit Bits hat das nicht so viel zu tun. Bei mir steht z. B. für Cookies enabled -> yes, Bits (of identifying information): 0.15

Wäre ja schön wenn man eine Boolsche Variable auf 0.15 Bits reduzieren könnte, das würde den Speicherverbrauch drastisch reduzieren

Außerdem hätte ich ja erwartet, dass mit cookies enabled sich wesentlich mehr Informationen für eine Identifizierung speichern lassen, denn dafür sind sie ja gedacht. Alles in allem eine seltsame Darstellung, oder einfach nur schlecht erklärt.

[JTH]

Sollte man dies dann nicht besser auch als Wahrscheinlichkeit hinschreiben, denn mit Bits hat das nicht so viel zu tun.

Doch doch, das hat's schon. Der Zusammenhang, den MSfree oben beschrieben hat, ist ein ganz grundlegender, theoretischer in der Informatik/Mathematik/Nachrichtentheorie: Informationsgehalt.

Wäre ja schön wenn man eine Boolsche Variable auf 0.15 Bits reduzieren könnte, das würde den Speicherverbrauch drastisch reduzieren

Genau das ist etwa eine Anwendung dieses Zusammenhangs: Zu ermitteln, wie viele Bits du minimal bräuchtest, um diese Information zu übertragen (vereinfacht beschrieben). Verwendet man etwa in der grundlegenden Betrachtung von Kompressionsverfahren und der statistischen Theorie dahinter. In der Realität sind es dann natürlich nur ganze Bits.

Außerdem hätte ich ja erwartet, dass mit cookies enabled sich wesentlich mehr Informationen für eine Identifizierung speichern lassen, denn dafür sind sie ja gedacht. Alles in allem eine seltsame Darstellung, oder einfach nur schlecht erklärt.

Da geht es sicher alleine um die Tatsache, dass du Cookies aktiviert hast. Und das ist nunmal quasi bei allen Browsern der Fall. Deshalb ist die Information statistisch wertlos und du bräuchtest sie fast nicht einmal übertragen mit den wenigen Bits.

[uname]

Zu Cookies:
Naja. Beim Browser Fingerprinting geht es doch darum den Browser auf beliebigen Seiten wiederzuerkennen.

Was das ganze mit Cookies (weder im Test noch hier im Thread) zu tun haben soll, ist mir nicht klar.
Die Cookies werden doch nur auf den Seiten ausgewertet, wofür sie hingekrümelt wurden, oder?

[schorsch_76]

Was ich ja den Wahnsinn finde ist: Wenn man seinen Browser mit dem UserAgent Switcher vorgeben läßt er sei ein FF unter Windows 10, er sich aber verhält wie ein FF unter Linux dass man sich damit eindeutiger von der Masse abhebt....

Was mich total überrascht ist, das dieses Canvas Fingerprinting so wahnsinnig gut funktioniert und wie wenig man dagegen machen kann.

Can my attempts to protect myself backfire? How can attempting to make myself more anonymous actually make me more identifiable?

Each browser metric is highly connected to other metrics in complex ways. This is why we don’t recommend trying to change a single element of your fingerprint. Striving to get the most common result for any individual metric may seem like a good idea, but it can actually make your browser more identifiable.

Let’s look at an example of how these metrics are interconnected:

No matter what browser you’re using, they all send information about themselves to servers so that web content loads correctly. This information includes the browser name and version. If you swap out the identifier of the browser you're actually using with one from a more common browser, you may make yourself completely identifiable. How is this possible? If Chrome is a more common browser, how can identifying your browser as Chrome make you more unique?

Because trackers aren’t only looking at what browser version you have. In combination with other metrics, your fake Chrome browser may stand out. This is because if you are actually using, say, Safari browser all the other metrics will point to this fact. You will have the only browser out there identifying itself as Chrome but looking like Safari.

[uname]

Das ist wirklich erschreckend. Komisch, dass Browser früher ohne sowas auskamen.

Interessanter ist aber unsere Politik.
So wird praktisch auf jeder Internetseite auf Cookies hingewiesen.
Auf die wirklichen Gefahren beim Tracking wird nicht hingewiesen.

[mludwig]

Sollte man dies dann nicht besser auch als Wahrscheinlichkeit hinschreiben, denn mit Bits hat das nicht so viel zu tun.

Doch doch, das hat's schon. Der Zusammenhang, den MSfree oben beschrieben hat, ist ein ganz grundlegender, theoretischer in der Informatik/Mathematik/Nachrichtentheorie: Informationsgehalt.

Ja, Bits sind hier unglücklich, da dies als Einheit ja in der Informatik schon verwendet wird. Im Englischen Wiki-Artikel dazu verwendet man als Einheit alternativ zum Bit dann shannon, was eigentlich eine ganz gute Idee ist.

Wäre ja schön wenn man eine Boolsche Variable auf 0.15 Bits reduzieren könnte, das würde den Speicherverbrauch drastisch reduzieren

Genau das ist etwa eine Anwendung dieses Zusammenhangs: Zu ermitteln, wie viele Bits du minimal bräuchtest, um diese Information zu übertragen (vereinfacht beschrieben). Verwendet man etwa in der grundlegenden Betrachtung von Kompressionsverfahren und der statistischen Theorie dahinter. In der Realität sind es dann natürlich nur ganze Bits.

Nur darum ging es mir eigentlich in meinem 1. Post hier: Bits sollten immer ganzzahlig sein. Daher die vielen Fragen, es fehlte vermutlich mindestens ein Smiley ...

Ansonsten sollte man zukünftig dann eher etwas gegen Canvas Fingerprinting als Cookies unternehmen.

Und wenn ich der einzige einer Kohorte mit 0 Bits/shannons (of identifying information) bin, bin ich damit auch eindeutig identifiziertbar?

[tobo]

Was ich ja den Wahnsinn finde ist: Wenn man seinen Browser mit dem UserAgent Switcher vorgeben läßt er sei ein FF unter Windows 10, er sich aber verhält wie ein FF unter Linux dass man sich damit eindeutiger von der Masse abhebt....

Eigentlich völlig klar, da das Betriebssystem (kombinatorisch) ausgelesen werden kann und damit ist 1) seltener als 2):
1) Betriebsystem: Linux - vorgegebenes Betriebssystem: Windows10
2) Betriebsystem: Linux - vorgegebenes Betriebssystem: Linux
https://privacy-handbuch.de/handbuch_21e.htm

[MSfree]

Die Cookies werden doch nur auf den Seiten ausgewertet, wofür sie hingekrümelt wurden, oder?

Nein. Wenn du eine beliebige kommerzielle Seite aufrufst, werden nicht nur Cookies dieser Seite/dieses Servers auf deinen Rechner geschickt, die der Browser zwecks Identifizierung zurückschickt.

Bei kommerziellen Seiten werden auch Werbeflächen eingeblendet, die z.B. von heise.de verkauft werden. Diese Werbeflächen werden dann z.B. von doubleclick.net ausgefüllt. Nun schickt doubleclick.net ebenfalls Cookies auf deinen Browser.

Surfst du nun auf die Seite bild.de, kommt von denen ebenfalls Werbung über doubleclick.net auf deinen Browser und dein Browser schickt den vorherigen Doubleklick-Keks and Doubleclick zurück. Doubleclick kann dann auswerten, daß du zuerst auf heise.de warst und anschließend bild.de besucht hast. Heise und Bild können dann diese Informationen von Doubleclick kaufen und für irgendwelche Zwecke nutzen (z.B. "personalisierte" Werbung).

Daß diese Benutzerverfolgung über Seiten hinweg auch von ("feindlichen") Geheimdiensten und Strafverfolgern genutzt werden kann. dürfte klar sein.

[uname]

Das hatte ich mir immer etwas anders vorgestellt. Vielleicht weil ich in Teilen noch auf das Gute von Unternehmen und Menschen hoffe.

Ein Cookie z. B. für doubleclick.net speichert meine Art Kundennummer bei dem Werbeunternehmen. Durch mein Surfverhalten erkennt Doubleclick meine Interessen und stellt mir personalisierte Werbung zusammen. Ja Doubleclick kennt mein Surfverhalten.

Heise und Bild können dann diese Informationen von Doubleclick kaufen und für irgendwelche Zwecke nutzen (z.B. "personalisierte" Werbung).

Sie können vielleicht personalisierte Werbung kaufen. Aber mein Surfverhalten kennt nur Doubleclick. Doubleclick sollte ähnlich wie Google Ads ein gewisses Interesse an Datenschutz haben. Denn sie verdienen ihr Geld nicht nur mit der Kombination von Daten, sondern vor allen mit "Datenschutz". Ein Skandal könnte fatal sein.

Ich lasse beim Beenden vom Firefox immer alle Cookies usw. löschen.
Somit besteht das Problem nur während einer Browsersitzung.
Wenn ich von der Bildzeitung zu Heise wechsel, starte ich natürlich immer meinen Browser neu. Aus Sicherheitsgründen

[debilian]

doubleclick.net (z.B.)

dafür gibt es ja die /etc/hosts Datei,
da stehen bei mir das halbe Internet drin, damit die Seiten gar nicht von mir aus erreichbar sind...
der ganze soziale Medien Kram, den jede Tageszeitung mit aufruft - alles in der hosts

[hikaru]

Doubleclick sollte ähnlich wie Google Ads ein gewisses Interesse an Datenschutz haben. Denn sie verdienen ihr Geld nicht nur mit der Kombination von Daten, sondern vor allen mit "Datenschutz". Ein Skandal könnte fatal sein.

Wie sähe denn so ein fataler Skandal aus?
Der Worst Case den ich mir vorstellen kann ist ein Heise-Artikel mit überlaufendem Forum und eine Randnotiz in der Tagesschau - nichts was in der breiten Öffentlichkeit mehr als eine Woche überlebt.

[uname]

Ich denke Firmen wie Doubleclick und Google (und vor allen deren Aktionäre) verdienen Milliarden mit Werbung.
Einige Dinge die Unternehmen bzgl. Datenschutz unterstellt werden, sind einfach absurd.
Die Gefahr sind vielleicht einzelne Mitarbeiter, aber nicht die Unternehmen selbst.

Das eigentliche Problem ist aber die Technik, die diese Möglichkeiten erst schafft.

[JTH]

Die Cookies werden doch nur auf den Seiten ausgewertet, wofür sie hingekrümelt wurden, oder?

Nein. Wenn du eine beliebige kommerzielle Seite aufrufst, werden nicht nur Cookies dieser Seite/dieses Servers auf deinen Rechner geschickt, die der Browser zwecks Identifizierung zurückschickt.

Bei kommerziellen Seiten werden auch Werbeflächen eingeblendet, die z.B. von heise.de verkauft werden. Diese Werbeflächen werden dann z.B. von doubleclick.net ausgefüllt. Nun schickt doubleclick.net ebenfalls Cookies auf deinen Browser.

Das soll in Zukunft/wird schon(?) zumindest im Firefox wohl durch „Total Cookie Protection“ und Schutz vor „Supercookies“ unmöglich gemacht oder zumindest erschwert werden. Damit soll dann das Ablegen und Auslesen von Cookies durch Drittseiten über aufgerufene Domains hinweg unmöglich sein.

Was das ganze mit Cookies (weder im Test noch hier im Thread) zu tun haben soll, ist mir nicht klar.
Die Cookies werden doch nur auf den Seiten ausgewertet, wofür sie hingekrümelt wurden, oder?

Hat mit Cookies, soweit ich dem gefolgt bin, auch nichts zu tun. Der Unterschied hier ist, ob ich dich (über mehrere Seiten hinweg) verfolgen kann, indem ich dir erst einen Notizzettel in die Tasche stecken muss, den du mir immer wieder rausgeben musst – und den du selbst wegwerfen oder mir nicht geben kannst, wenn du das sinnvoll findest (Cookie). Oder ob es mir schon reicht, dich wiederzuerkennen, indem ich dir ins Gesicht gucke (Fingerprinting).

[schorsch_76]

...
https://privacy-handbuch.de/handbuch_21e.htm

Danke für den Link tobo

[MSfree]

Doubleclick sollte ähnlich wie Google Ads ein gewisses Interesse an Datenschutz haben. Denn sie verdienen ihr Geld nicht nur mit der Kombination von Daten, sondern vor allen mit "Datenschutz". Ein Skandal könnte fatal sein.

Doubleclick kennt deinen Namen nicht sondern nur dein Pseudonym in Form eines Cookies. Und pseudonymisierte Daten sind gesetzlich nicht geschützt.

[DeletedUserReAsG]

Und pseudonymisierte Daten sind gesetzlich nicht geschützt.

Nicht? Man darf IPs („man weiß ja nicht mal, wem der Anschluss gehört“) und Nutzernamen („selbstvergeben, also Pseudonyme“) und so Sachen also lustig speichern und zusammenführen? Ich denke nicht, dass es so einfach ist – ein Haufen Juristen wären sonst auf einen Schlag arbeitslos …

[JTH]

Und pseudonymisierte Daten sind gesetzlich nicht geschützt.

Nicht? Man darf IPs („man weiß ja nicht mal, wem der Anschluss gehört“) und Nutzernamen („selbstvergeben, also Pseudonyme“) und so Sachen also lustig speichern und zusammenführen?

Anonymisiert, nicht pseudonymisiert, wär hier wohl der richtige Begriff, den MSfree meinte?!

[MSfree]

Nicht? Man darf IPs („man weiß ja nicht mal, wem der Anschluss gehört“) und Nutzernamen („selbstvergeben, also Pseudonyme“) und so Sachen also lustig speichern und zusammenführen?

Solange du nur Daten zusammenführst, die nicht eindeutig einer natürlichen Person zugeordnet werden können, ist das kein Problem.

[MSfree]

Anonymisiert, nicht pseudonymisiert, wär hier wohl der richtige Begriff, den MSfree meinte?!

Anonymität gibt es sowieso nicht. Auch, wenn du mich nicht kennst, könntest du mich beschreiben, nachdem wir uns in der Fußgängerzone begegnet wären. Du könntest mich bei einer zweiten Zufallsbegegnung sehr wahrscheinlich wiedererkennen. In deinem Hirn befindet sich also pseudonyme Information über mich.

Auch die Werbetreibenden wollen dich wiedererkennen. Sie legen eine Akte mit einem Pseudonym über die an. Auchm wenn dann kein realer Name zugeordnet wird, bist du nicht mehr anonym.