Es gibt Wege, die Privatsphäre-Einstellungen des Browsers zu unterlaufen. Ohne einen Cookie zu speichern, ist es möglich, die Nutzer beim Surfen zu verfolgen. Forscher haben diese Praxis nun in einer Studie beschrieben.
Stuttgart - Im Web findet ein Wettrüsten statt. Betreiber von Internetseiten versuchen herauszufinden, was Besucher interessiert und welche Adressen sie bereits besucht haben. Nutzer wehren sich gegen dieses Ausforschen ihrer Interessen mit dem Abschalten und Blockieren verschiedener Optionen ihres Browsers.
Doch es nützt nichts: Mehrere, teils brandneue Methoden der Verfolgung von Internetnutzern lassen sich nur schwer oder gar nicht blockieren, haben Forscher der Universitäten Löwen (Belgien) und Princeton (USA) herausgefunden.
Die neueste Technik, hinter Internetnutzern herzuschnüffeln, ist das sogenannte Canvas Fingerprinting. Moderne Browser haben eine Funktion, mit der sie eine Zeichenfläche (Canvas) zur Verfügung stellen und darauf ein Bild malen oder Text schreiben können. Das macht jeder Browser ein wenig anders, abhängig vom Betriebssystem, der Browserversion, der Grafikhardware und -software des Rechners, den vorhandenen Schriften und Besonderheiten der Schriftdarstellung.
Auf fünf Prozent der Seiten wurden die Forscher fündig
Neugierige Anbieter setzen auf eine Internetseite heimlich einen solchen Canvas, lassen den Browser darauf zeichnen und speichern das Ergebnis als Zahlencode. Der erlaubt es, wie ein Fingerabdruck den Rechner eindeutig zu identifizieren. Abschalten lasse sich das nicht, ohne an der Software des Browsers Veränderungen vorzunehmen, schreiben die Forscher.
Die Forscher suchten auf den beliebtesten 100 000 Internetseiten nach Canvas Fingerprinting und wurde auf mehr als fünf Prozent der Seiten fündig, darunter Seiten von T-Online und Microsoft. In der Regel stammen entsprechende Skriptprogramme nicht vom Anbieter direkt, sondern werden von Werbedienstleistern unsichtbar mit der Seite verknüpft. So waren mehr als 95 Prozent der gefundenen Seiten mit der Seite addthis.com verknüpft; der Zweithäufigste war mit nur 0,1 Prozent Häufigkeit der deutsche Dienstleister ligatus.com.
Einige dieser Firmen reagierten auf die Studie. So versicherte T-Online gegenüber „Spiegel Online“, man habe von dem Einsatz nichts gewusst und werde das Verfahren unterbinden. Auch Microsoft distanzierte sich. Der Pornoanbieter Youporn versicherte dem Online-Magazin „Pro Publica“, er habe Addthis von seinen Seiten entfernt, und Addthis selbst, das die Technik seit Anfang dieses Jahres testet, erklärte gegenüber dem Online-Magazin „The Verge“, in den Tests hätten Internetnutzer nur mit 90 Prozent Genauigkeit identifiziert werden können, was „nicht eindeutig genug“ sei. Die Versuche würden deshalb wohl bald beendet. Ähnlich äußerte sich Ligatus gegenüber „heise.de“: Die Tests seien beendet, das Verfahren habe keine Vorteile gegenüber „eigenentwickelten Optimierungs-Algorithmen“ gezeigt.
„Das Web vergisst nie“
Die Forscher haben zwei weitere, schon ältere Verfahren der Nutzeridentifizierung untersucht: „Evercookies“ und „Cookie syncing“. Letzteres besteht darin, dass verschiedene Werbeseiten Kennungen, die sie auf dem PC von Surfern gespeichert haben, untereinander austauschen, so dass der Surfer häufiger identifiziert wird.
Evercookies dagegen werden nicht nur als Cookies gespeichert, die jeder Surfer löschen kann, sondern mit anderen Techniken, die moderne Browser bieten. Löschen an einer Stelle hilft dann nicht; die Information kann rekonstruiert werden.
„The Web never forgets“ (Das Web vergisst nie) ist der Titel der Studie. „Auf lange Sicht“, schreiben die Forscher, „muss ein verlässlicher Weg zu mehr Online-Privatsphäre über Add-ons und Browser-Erweiterungen hinausgehen“. Sie setzen auf regulatorische Eingriffe und fordern Hersteller von „Privatsphäre-freundlichen“ Browsern auf, Abwehrtechniken tiefer in ihre Software zu integrieren.