1. Foren
  2. » Kommentare
  3. » Security
  4. » Alle Kommentare zum Artikel
  5. » Tracking: Der verräterische…

die javascript aktivierung ...

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. die javascript aktivierung ...

    Autor Moe479 05.12.12 - 17:19

    ... sollte doch nicht systemressourcen auslesen lassen ... wie genau gelangt denn z.b. die liste der installierten fonts zum webserver gegenüber und wozu genau ist diese nützlich?

    afaik, setzen doch viele der moderneren webseiten schon jetzt eigene fonts ein ... die information über installierte fonts ist also an sich nicht mehr wichtig für eine korrekte/irgendwie gewollte darstellung ... es geht ja auch ohne.

    wozu sollte der browser die desktopauflösung übermitteln, in abhängigkeit vom verwendeten ui und den vorlieben des nutzers variiert doch der gesammte zeichenbereich des browserfensters sehr stark, bis auf smartfones und tablets wird doch sehr selten im fullscreen mode gesurft ...

    besser währe es doch den browser die passende css datei vom server saugen zu lassen anstatt dem server erst informationen übers gerät zuzuspielen und diesen die entsprechende datei auswählen zu lassen ... und nebenbei vom benutzer ungewollt preisgegebene infomarmationen zu loggen ...



    2 mal bearbeitet, zuletzt am 05.12.12 17:24 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: die javascript aktivierung ...

    Autor Baller-Joe 05.12.12 - 17:23

    Du willst dich informieren, was ein Fingerprint ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: die javascript aktivierung ...

    Autor Moe479 05.12.12 - 17:34

    nein will ich nicht, ein 'fingerprint' im sinne des themas ist eine liste von irgendwelchen möglichst statischen informationen, diese liste wird gespeichtert neben den abdrücken/listen vieler anderer, bei erneuter abfrage der seite wird von dieser eine möglichst vollständändige und einmalige übereinstimmung gesucht um einen besucher eindeutig wiederzuerkennen.

    was ich nicht verstehe warum browser grundsätzlich soviele informationen preisgeben , dass hochprozentige übereinstimmungen der abdrücke einen hohe tatsächliche erkennungsquote liefern ... es reicht doch der zeichenbereich, die browserversion und ggf. der sessioncookie(hier ist die wiederekennung vom benutzer erwünscht durch annahme des kekses), um auf das nötigste serverseitig einzugehen, das verwendete os und irgendwelche dateilisten preiszugeben ist definitiv schon zuviel des guten.



    2 mal bearbeitet, zuletzt am 05.12.12 17:37 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: die javascript aktivierung ...

    Autor Baller-Joe 05.12.12 - 17:37

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > nein will ich nicht, ein 'fingerprint' im sinne des themas ist eine liste
    > von irgendwelchen möglichst statischen informationen, diese liste wird
    > gespeichtert neben den abdrücken/listen vieler anderer, bei erneuter
    > abfrage der seite wird von dieser ein möglicht vollständändige
    > übereinstimmung gesucht um einen besucher wiederzuerkennen.
    >
    > was ich nicht verstehe warum browser grundsätzlich soviele informationen
    > preisgeben , dass hochprozentige übereinstimmungen der abdrücke einen hohe
    > tatsächliche erkennungsquote liefern ... es reicht doch der zeichenbereich,
    > die browserversion und ggf. der sessioncookie(hier ist die wiederekennung
    > vom benutzer erwünscht durch annahme des kekses), um auf das nötigste
    > serverseitig einzugehen, das verwendete os und irgendwelche dateilisten
    > preiszugeben ist definitiv schon zuviel des guten.


    Du hast dich informiert. Das ist ja ein Fortschritt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: die javascript aktivierung ...

    Autor smirg0l 05.12.12 - 18:02

    Baller-Joe schrieb:
    --------------------------------------------------------------------------------
    > Moe479 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > nein will ich nicht, ein 'fingerprint' im sinne des themas ist eine
    > liste
    > > von irgendwelchen möglichst statischen informationen, diese liste wird
    > > gespeichtert neben den abdrücken/listen vieler anderer, bei erneuter
    > > abfrage der seite wird von dieser ein möglicht vollständändige
    > > übereinstimmung gesucht um einen besucher wiederzuerkennen.
    > >
    > > was ich nicht verstehe warum browser grundsätzlich soviele informationen
    > > preisgeben , dass hochprozentige übereinstimmungen der abdrücke einen
    > hohe
    > > tatsächliche erkennungsquote liefern ... es reicht doch der
    > zeichenbereich,
    > > die browserversion und ggf. der sessioncookie(hier ist die
    > wiederekennung
    > > vom benutzer erwünscht durch annahme des kekses), um auf das nötigste
    > > serverseitig einzugehen, das verwendete os und irgendwelche dateilisten
    > > preiszugeben ist definitiv schon zuviel des guten.
    >
    > Du hast dich informiert. Das ist ja ein Fortschritt.

    Du hast in 100% sinnfreien Kommentaren 0% zur Fragestellung beigetragen.
    Ob das irgendein Fortschritt ist, sei dahin gestellt. :)

    Für was der Browser Schriftarten ausspucken _muss_, kann ich als Webentwickler auch beim besten Willen nicht sagen. Macht keinen Sinn, braucht man nicht wirklich. Und was man nicht braucht, sollte raus, denn sonst machts irgendwann Ärger.

    Bei anderen Dingen wie Bildschirmauflösung verhält sich das aber durchaus anders, das sind, je nachdem was man macht, sehr wichtige Informationen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: die javascript aktivierung ...

    Autor Baller-Joe 05.12.12 - 18:37

    smirg0l schrieb:
    --------------------------------------------------------------------------------
    > Baller-Joe schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Moe479 schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > nein will ich nicht, ein 'fingerprint' im sinne des themas ist eine
    > > liste
    > > > von irgendwelchen möglichst statischen informationen, diese liste wird
    > > > gespeichtert neben den abdrücken/listen vieler anderer, bei erneuter
    > > > abfrage der seite wird von dieser ein möglicht vollständändige
    > > > übereinstimmung gesucht um einen besucher wiederzuerkennen.
    > > >
    > > > was ich nicht verstehe warum browser grundsätzlich soviele
    > informationen
    > > > preisgeben , dass hochprozentige übereinstimmungen der abdrücke einen
    > > hohe
    > > > tatsächliche erkennungsquote liefern ... es reicht doch der
    > > zeichenbereich,
    > > > die browserversion und ggf. der sessioncookie(hier ist die
    > > wiederekennung
    > > > vom benutzer erwünscht durch annahme des kekses), um auf das nötigste
    > > > serverseitig einzugehen, das verwendete os und irgendwelche
    > dateilisten
    > > > preiszugeben ist definitiv schon zuviel des guten.
    > >
    > >
    > > Du hast dich informiert. Das ist ja ein Fortschritt.
    >
    > Du hast in 100% sinnfreien Kommentaren 0% zur Fragestellung beigetragen.
    > Ob das irgendein Fortschritt ist, sei dahin gestellt. :)
    >
    > Für was der Browser Schriftarten ausspucken _muss_, kann ich als
    > Webentwickler auch beim besten Willen nicht sagen. Macht keinen Sinn,
    > braucht man nicht wirklich. Und was man nicht braucht, sollte raus, denn
    > sonst machts irgendwann Ärger.
    >
    > Bei anderen Dingen wie Bildschirmauflösung verhält sich das aber durchaus
    > anders, das sind, je nachdem was man macht, sehr wichtige Informationen.

    Was wolle sage?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: die javascript aktivierung ...

    Autor Moe479 05.12.12 - 18:42

    ka eventuell meinen wir das gleich, nenne doch mal die situation in der die tatsächliche bildschirmauflösung sinnvoller als den gerade durch den browser verwendeten zeichenberei (im fenster ist ok, darüberhinaus hat nicht zu interessieren, was kommt als nächstes, das icm-profiel oder gar marke und modell meines displays, welche helligkeit, welchen kontrast und welche farbtemperatur und wieviel laufstunden es runter hat?.

    auch die sprache die ich favorisiere preiszugeben empfinde ich als störend, ich surfe öfter mit absicht englischsprachige sites an und werde zur deutschen zurückgeschickt ... bockmist!

    klar kann alles für irgendwen von bedeutung sein nur dann will ich einfach expliziet gefragt werden, dies kann der betreiber auch mit einigen optionalen fragen auf seiner site machen ... ich kanns dann ausfüllen, wegklicken oder einfach gehen, diese wahlmöglickeiten bevorzuge ich.



    1 mal bearbeitet, zuletzt am 05.12.12 18:52 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: die javascript aktivierung ...

    Autor Spaghetticode 05.12.12 - 20:00

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > ... sollte doch nicht systemressourcen auslesen lassen ... wie genau
    > gelangt denn z.b. die liste der installierten fonts zum webserver gegenüber
    > und wozu genau ist diese nützlich?
    Bei den meisten „Fingerprint-Demonstrationen“, so auch hier, werden die installierten Schriftarten mit Hilfe von Flash oder Java ausgelesen. Musst du mal Adobe/Oracle fragen, wozu das nützlich ist. Der Browser selbst liefert keine Liste frei Haus. Da ich „Click-to-play“ aktiviert habe, konnten sowohl diese Seite als auch die vom EFF die Schriftarten nicht auslesen.

    Aber auch ohne Flash/Java ist man nicht sicher davor. Mir fällt da eine Möglichkeit ein, die die Eigenschaften von CSS zunutze macht, eine Rückfallebene zu definieren, falls eine Schriftart nicht installiert ist. Das ähnelt dem „History Stealing“, das inzwischen unterbunden wird. Man definiert die Schriftart, die man „abfragen“ möchte, und als Rückfallebene einen nachzuladenden Font.
    (Die zweite Möglichkeit, nämlich eine Schriftart mit einer Rückfallebene zu definieren, ein <span>-Element damit zu füllen und dann die Größe abzufragen, funktioniert mit meinem Firefox nicht.)

    > wozu sollte der browser die desktopauflösung übermitteln, in abhängigkeit
    > vom verwendeten ui und den vorlieben des nutzers variiert doch der gesammte
    > zeichenbereich des browserfensters sehr stark, bis auf smartfones und
    > tablets wird doch sehr selten im fullscreen mode gesurft ...
    Eigentlich braucht man nur die window.innerWidth und window.innerHeight, die die Größe des Dokumentbereiches beschreiben. Die ganzen anderen Größenangaben brauchen wir eigentlich nicht.

    > besser währe es doch den browser die passende css datei vom server saugen
    > zu lassen
    Ähm, auch dabei kann man Informationen mitloggen, wenn man will.

    Ich will aber auch anmerken, dass die preisgegebenen Informationen seitens des Browsers reduziert wurde (Beispiel Firefox):
    - Das Auslesen von Chronikeinträgen ist nicht mehr möglich
    - Das Auslesen der Sprache der Benutzeroberfläche ist nicht mehr möglich, statt dessen wird die bevorzugte Sprache ausgegeben
    - Die Patchlevel sind nicht mehr im User-Agent-String enthalten

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: die javascript aktivierung ...

    Autor Spaghetticode 05.12.12 - 20:22

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > auch die sprache die ich favorisiere preiszugeben empfinde ich als störend,
    > ich surfe öfter mit absicht englischsprachige sites an und werde zur
    > deutschen zurückgeschickt ... bockmist!
    Es steht dir frei, die Liste der bevozugten Sprachen in deinem Browser komplett zu leeren.

    Ich denke aber, dass das Angeben der bevorzugten Sprache eher ein nützliches Feature ist, schließlich kann dann die Webseite (z. B. Facebook, Youtube) automatisch die richtige Sprache einstellen. Bei allen Webseiten, die ich bisher gesehen habe, ist auch eine manuelle Korrektur der Spracheinstellung möglich. Leider ist die Option, die bevorzugte Sprache einzustellen, in den Einstellungen recht versteckt, sodass nicht viele Nutzer diese Option bewusst einstellen.

    Hier gibt es mehr zu den bevorzugten Sprachen zu lesen.

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: die javascript aktivierung ...

    Autor Moe479 05.12.12 - 22:11

    bei .uk oder .com erwarte ich englisch, bei .de deutsch, bei .ru russisch, .es spanisch ... etc. ... anhand von browserflags oder ip umgeleitet zu werden ist lame ... .ru.de ... .en.de ... stell dich dir in einem internetcafe in einem fremden land vor ... mann/frau bekommt echt das kotzen ... das geht dann soweit, dass plötzlich links nicht mehr zum ziel führen weil der artikel nicht in der sprache des os/browsers existiert ... eindeutig ein fail-feature für mich.



    1 mal bearbeitet, zuletzt am 05.12.12 22:13 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: die javascript aktivierung ...

    Autor Spaghetticode 05.12.12 - 22:42

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > bei .ru [erwarte ich] russisch, .es spanisch ... etc. ...
    Was soll ich denn mit Russisch und Spanisch, wenn ich es sowieso nicht verstehe? Da kann der Server auch gleich eine vorhandene englische oder deutsche Version ausliefern.

    > anhand von [...] ip umgeleitet zu werden ist lame
    Das wäre wirklich doof, anhand einer IP auf eine Sprache zu schließen.

    > stell dich dir in einem internetcafe in einem fremden land vor
    a) In solchen Fällen kann der Internetcafé-Betreiber auch die Liste der bevorzugten Sprachen leeren.
    b) Die Webseite sollte eine Option zum Umstellen der Sprache besitzen. Wenn die nicht vorhanden oder nicht auffindbar ist, dann sollte der Webseitenbetreiber sich mal drum kümmern.
    c) Kannst du überhaupt mit dem Browser umgehen, wenn die Benutzeroberfläche in einer fremden Sprache ist?

    > das geht dann soweit, dass plötzlich links nicht mehr zum ziel
    > führen weil der artikel nicht in der sprache des os/browsers existiert ...
    Dann ist die Webanwendung mies programmiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: die javascript aktivierung ...

    Autor Max-M 05.12.12 - 23:09

    Die Bildschirmauflösung zu kennen, kann schon hilfreich sein.
    Thema Vollbildmodus ^^

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: die javascript aktivierung ...

    Autor Moe479 05.12.12 - 23:58

    a) sconmal einnen internetcaffebetreiber gefragt?

    b) die klage ich ja an diese 'features' überhaupt zu benutzen, und natürlich auch die browsweranbiter, dieses 'feature' überhaupt zu bedienen.

    c) adresszeile befindet sich am selben platz, vor und zurück button ist an der gleichen stelle ... im dialog ist ja ist links und rechts nein.

    zum letzten hast du recht die existenz dieser fail-entwicklung ist aber nur der existens des fail-fetures der sprach/länder/ip-zuordnung zu verdanken, sonst gäbe es das nicht, ja ich prangere das ursprüngliche problem an nicht das symptom, tut mir leid, dass ich ursache-wirkungsketten aufbaue ...ganz iorginär könnte natürlich den einfluss von wirtschafts- und gewinnstreben einzelner nennen, die dadurch kurzfristig kasse machen konnten ... irgendwoher muss es ja kommen ;-)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: die javascript aktivierung ...

    Autor rommudoh 06.12.12 - 09:03

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > wird doch sehr selten im fullscreen mode gesurft ...

    Wer surft denn noch im windowed mode?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: die javascript aktivierung ...

    Autor Johnny Cache 06.12.12 - 13:17

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > Ich denke aber, dass das Angeben der bevorzugten Sprache eher ein
    > nützliches Feature ist, schließlich kann dann die Webseite (z. B. Facebook,
    > Youtube) automatisch die richtige Sprache einstellen.

    Wenn es nur so einfach wäre. Gerade Youtube versucht immer wieder schlau zu sein und stellt mir mit schöner Regelmäßigkeit die Sprache auf deutsch, obwohl diese Sprache nicht im Browser hinterlegt ist.
    Offensichtlich scheinen sie der Meinung zu sein daß Leute mit einer deutschen IP auch die Inhalte in dieser Sprache bevorzugen, was natürlich völlig an den Haaren herbeigezogen ist.

    http://img293.imageshack.us/img293/7323/signaturebn2.png

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: die javascript aktivierung ...

    Autor Spaghetticode 06.12.12 - 19:24

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > bei .uk oder .com erwarte ich englisch, bei .de deutsch, bei .ru russisch,
    > .es spanisch
    Mir ist da noch was eingefallen: Welche Sprache erwartest du eigentlich bei .ch, .be oder .za?

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: die javascript aktivierung ...

    Autor eiapopeia 06.12.12 - 21:07

    Ich mit meinen zwei Monitoren die alle sehr breit sind. Warum sollte ich den Platz verschwenden?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: die javascript aktivierung ...

    Autor Max-M 06.12.12 - 21:10

    Ich surfe zum Beispiel auch oft auf 1920x1080 - 40px Taskbar oder 1600x900, wenn ich den Platz nicht unbedingt brauche.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: die javascript aktivierung ...

    Autor whatTHEfuck 07.12.12 - 09:33

    Johnny Cache schrieb:
    --------------------------------------------------------------------------------
    > Wenn es nur so einfach wäre. Gerade Youtube versucht immer wieder schlau zu
    > sein und stellt mir mit schöner Regelmäßigkeit die Sprache auf deutsch,
    > obwohl diese Sprache nicht im Browser hinterlegt ist.
    > Offensichtlich scheinen sie der Meinung zu sein daß Leute mit einer
    > deutschen IP auch die Inhalte in dieser Sprache bevorzugen, was natürlich
    > völlig an den Haaren herbeigezogen ist.

    Dem ist bei Youtube nicht so. Selbst wenn ich mit einer amerikanischen IP Videos ansehe (was wegen der GEMA durchaus Sinn macht) wird mir Deutsch als Sprache vorgeschlagen. Anhand der IP wird die Sprache also nicht ausgewählt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: die javascript aktivierung ...

    Autor Johnny Cache 07.12.12 - 09:37

    whatTHEfuck schrieb:
    --------------------------------------------------------------------------------
    > Dem ist bei Youtube nicht so. Selbst wenn ich mit einer amerikanischen IP
    > Videos ansehe (was wegen der GEMA durchaus Sinn macht) wird mir Deutsch als
    > Sprache vorgeschlagen. Anhand der IP wird die Sprache also nicht
    > ausgewählt.

    Wenn es nicht der Browser und die IP sind... was dann?

    http://img293.imageshack.us/img293/7323/signaturebn2.png

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Display Scanout Engine: Xbox, streck das Bild!
Display Scanout Engine
Xbox, streck das Bild!

Die Xbox One berechnet viele Spiele nicht nativ in 1080p. Stattdessen vergrößern ein Hardware-Scaler oder einige Softwareschritte niedrigere Auflösungen. Beide Lösungen bieten Vor- und Nachteile, welche die Bildqualität oder Bildrate beeinflussen.

  1. Xbox One Upgedated und preisgesenkt
  2. Xbox One Microsoft denkt über Xbox-360-Emulation nach
  3. Xbox One Inoffizielle PC-Treiber für Controller erhältlich

Facebook und Oculus Rift: Vier Prognosen zu Faceboculus
Facebook und Oculus Rift
Vier Prognosen zu Faceboculus

Der erste Shitstorm hat sich gelegt. Und Oculus gehört immer noch Facebook. Was ändert das jetzt? Und was bedeutet das für die Zukunft? Wer sich mit Entwicklern und Experten unterhält, der kann einige erste Schlüsse ziehen.

  1. Oculus Rift 25.000 Exemplare der neuen Dev-Kit-Version verkauft
  2. Developer Center Sicherheitslücke bei Oculus VR
  3. Oculus VR "Wir haben nicht so viele Morddrohungen erwartet"

Windows XP ade: Linux ist nicht nur ein Lückenfüller
Windows XP ade
Linux ist nicht nur ein Lückenfüller

Wenn der Support für Windows XP ausläuft, wird es dringend Zeit, nach einer sicheren und vor allem kostenlosen Alternative zu suchen. Linux ist dafür bestens geeignet. Bleibt nur noch die Qual der Wahl.

  1. Open Source Linux 3.15 startet in die Testphase
  2. Linux-Kernel LTO-Patch entfacht Diskussion
  3. Linux-Distribution Opensuse baut um und verschiebt Version 13.2

  1. WLAN: Quantenna plant 10 Gigabit pro Sekunde für 2015
    WLAN
    Quantenna plant 10 Gigabit pro Sekunde für 2015

    Bis 2015 plant Quantenna die ersten WLAN-Chips auszuliefern, die eine Geschwindigkeit von 10 Gigabit pro Sekunde erreichen sollen. Die 8-Stream-MIMO-Architektur verbindet mehrere 5-GHz-Bänder, um diese Bandbreite zu ermöglichen.

  2. All-in-One Media Keyboard: Microsofts erste drahtlose Tastatur mit Touchpad
    All-in-One Media Keyboard
    Microsofts erste drahtlose Tastatur mit Touchpad

    Microsoft hat mit dem All-in-One Media Keyboard eine drahtlose Tastatur-Touchpad-Kombination für den Wohnzimmer-PC vorgestellt. Das spritzwassergeschützte Eingabegerät soll die Bedienung vom Sofa aus erleichtern.

  3. Sicherheitslücke: Manipulation der Icons im Android-Launcher möglich
    Sicherheitslücke
    Manipulation der Icons im Android-Launcher möglich

    Die Icons im Android-Launcher lassen sich ohne große Mühe manipulieren. Dadurch ließen sich vermeintlich vertrauenswürdige App-Icons so verändern, dass sie auf eine App mit Schadcode oder auf eine Phishing-Seite leiten könnten, warnen Sicherheitsspezialisten.


  1. 13:02

  2. 12:57

  3. 12:46

  4. 12:37

  5. 12:02

  6. 11:59

  7. 11:57

  8. 11:42