1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tracking: Der verräterische…

Müssen Browser das denn immer preisgeben?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Müssen Browser das denn immer preisgeben?

    Autor IrgendeinNutzer 05.12.12 - 16:41

    Browser geben anscheinend immer recht viele Daten preis... kann man sowas denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:03

    Gibts kein Tool für. Den Referer kann man unterbinden und den User Agent faken, das hilft aber nur wenig. Es bleiben ca. ein halbes Dutzend Infos (Auflösung, Farbtiefe usw.), das reicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:16

    Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css setzt (egal ob der Font da ist oder nicht).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:17

    Das muss man wohl mit JS auslesen, keine Ahnung. Browser Header sind das jedenfalls nicht, IMHO. Oder?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:19

    Nein im Header sind die Daten nicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:21

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Nein im Header sind die Daten nicht.

    Na wer weiss, was die Browser noch alles in die Gegend pusten. Bei Chrome habe ich immer das Gefühl, der postet meinen Kontostand ständig ins Netz! Also auf die Google-Server und da hats dann jeder :) Ist doch echt praktisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Browser ja, Proxys nicht

    Autor grumbazor 05.12.12 - 17:25

    du kannst dir nen Proxy zwischenklemmen der die Daten entsprechend manipuliert und z.B. beim Betriebssystem zufälligen mist ausgibt. Allerdings müssten dass mehrere User machen, ansonsten bist du einfach daran zu identifizieren dass du der bist bei dem zufälliger msit steht ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Müssen Browser das denn immer preisgeben?

    Autor luschi 05.12.12 - 17:25

    Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch will das der Browser immer mehr kann, und je er kann desto mehr gibt er natürlich auch Preis. Einfach alle Plugins inclusive Java-Script deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für Firefox, damit bleibt recht wenig übrig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:28

    luschi schrieb:
    --------------------------------------------------------------------------------
    > Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch
    > will das der Browser immer mehr kann, und je er kann desto mehr gibt er
    > natürlich auch Preis. Einfach alle Plugins inclusive Java-Script
    > deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt
    > dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst
    > wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder
    > nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für
    > Firefox, damit bleibt recht wenig übrig.

    Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts nicht IMHO.
    Datenschutz interessiert offenbar niemanden. Komisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Müssen Browser das denn immer preisgeben?

    Autor yeppi1 05.12.12 - 17:36

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es
    > wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css
    > setzt (egal ob der Font da ist oder nicht).

    Also ich mich interessiert Werbung, daher kommen NoScript oder AdBlock für mich nicht in Frage. Aber Flash Werbung interessiert mich nicht, daher habe ich FlashBlock installiert. Und siehe da:
    >Fonts: Konnte nicht ermittelt werden.
    >Fonts Hash: Konnte nicht ermittelt werden.

    Wenn nun im Artikel steht, dass der fingerprint hauptsächlich mit den fonts funktioniert und das auslesen von fonts nur mit flash geht, ist das Problem Appleuser mal gar nicht vorhanden und für andere vielleicht immer weniger...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Müssen Browser das denn immer preisgeben?

    Autor robinx999 05.12.12 - 18:06

    Naja das Meiste kommt ja über Java Script.
    sieht man ja auch sehr gut über die seite https://panopticlick.eff.org/
    Mit ausgeschaltetem Javascript bleibt ja eigentlich nur noch der User Agent + HTTP_ACCEPT Headers Übrig, außerdem kann man noch abfragen ob cookies erlaubt sind und erkennt natürlich das ausgeschlatete Javascript (damit ist man ja auch schon recht selten)
    Wobei natürlich der Useragent auch schon zuviel verrät wenn ich lese: "Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/17.0 Firefox/17.0" dann denkt man schon ist es wirklich nötig jedem webserver mitzuteilen dass man ein 64 Bit Linux nutzt.

    Wobei natürlich die Schriftarten schon den Vogel der Genauigkeit abschießen ich meine es gibt halt nicht viele leute die genau die gleichen 151 Schriftarten (welche Programme die auch immer mitgebracht haben) installiert haben wie ich. Aber das ist halt Javascript damit kann man schon an viele Infos kommen und abschalten ist auch nur bedingt eine lösung und addons mit denen man dann jede Webseite getrennt konfigurieren kann sind auch nicht sehr nutzerfreundlich.

    Aber naja gibt bestimmt auch irgendwo eine Webseite die erkennt, dass man die passende Schrift nicht hat und sie wird einem Dann zum download angeboten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 19:23

    Siehe http://pastebin.com/yUJvkj0K
    Einfach Flash ausschalten :P



    1 mal bearbeitet, zuletzt am 05.12.12 19:24 durch Max-M.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 19:36

    naja es ist nicht javascript ansich, vielmehr inwieweit der browser, der verwendeten scriptengine diese daten auch tatsächlich übergibt, die scriptengie läuft ja im kontext des browsers, sie ebend nicht einfach mit NULL oder ählichem auffüllt ...

    FF16 füllt bei mir zum bleistift den wert für Color Activecaption mit #a246a0 ... das LILA -*schüttel*- stimmt schonmal garnicht ... also sind dummywerte wohl kein ding, müssten nur mehr sein ...

    dass ff das os im useragent-string mit angibt ist überflüssig, alle ff varianteneiner version sollten gleiche ergebnisse in der darstellung produzieren ansonsten bräuchte man noch browser-os oder os-browser weichen ... *2. mal schüttel*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 22:28

    da keiner darauf antwortet, alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen wie schriftartenlisten auzulesen vermag ... im header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher die differenzierung sicher gelingt, darüber hinaus ist der header unbrauchbar, der ganze rest komt dadurch, dass js die möglickeit hat enorm viel zu erfragen, und schlimmer noch enorm viel echte informationen bekommt (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den tasächelich installierten schriftarten einfach nur Times New Roman, Arial, Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind, damit geziehlt bestimmte js-abfragen einfach ad absurdum führen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 22:49

    Die Fonts wurden über nen Flash Progrämmle ausgelesen und an JavaScript übergeben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Müssen Browser das denn immer preisgeben?

    Autor Spaghetticode 05.12.12 - 23:03

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen
    > wie schriftartenlisten auzulesen vermag
    Wie ich im Nachbarthread schon gesagt habe: Die installierten Schriftarten können nicht mit JavaScript, sondern nur mit Flash/Java ausgelesen werden. Ein einfaches Aktivieren von „click-to-play“ genügt, um das einfache Auslesen der Schriftarten zu verhindern.
    Es gibt aber die theoretische Möglichkeit, ohne Flash/Java/JavaScript abzufragen, ob eine Schriftart installiert ist.

    > ... im
    > header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei
    > drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher
    > die differenzierung sicher gelingt, darüber hinaus ist der header
    > unbrauchbar
    Du widersprichst dir selbst. Entweder sind die Header zur Differenzierung brauchbar oder unbrauchbar.

    > (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den
    > tasächelich installierten schriftarten einfach nur Times New Roman, Arial,
    > Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind,
    Dann kann man die Funktionen gleich entfernen, weil sie damit obsolet werden. Den Riegel vorschieben müssen aber Adobe und Oracle (siehe oben).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Müssen Browser das denn immer preisgeben?

    Autor flow77 05.12.12 - 23:18

    Nunja, man gibt nicht unbedingt gerne Infos raus wenn es nicht sein muss. Wenn ich in einen Kleiderladen gehe, dann muss ich auch preis geben welche Höhe und Breite ich denn habe, oder es wird eben abgemessen. Den Namen bekommen die ebenfalls, auch den Nachnamen, die CC Nummer und sicher auch einen Cam-Shot. Sie wissen was ich und für wie viel gekauft habe. Sie wissen ob ich öfters hier einkaufe, oder ob ich ein Neukunde bin. Sie wissen im Baumarkt ob ich einen Holzofen zu Hause habe, ob brav Energiesparlampen kaufe, ob ich mir im Buchladen Lektüre für Liebeskummer kaufe oder ob ich heute Besuch bekomme die gerne Wein oder Bier trinken.

    Aber um deine Frage zu beantworten, Dinge auszuschalten die eine Website ggf. benötigt um korrekt dargestellt zu werden ist imho Pflicht. Eine fehlende Auflösung die via JS abgefragt werden kann ist so wie wenn man in einem Kleidungsgeschäft keine Antwort auf die Frage "welche Maße" geben kann - das Ergebnis ist sicher ernüchternd.




    IrgendeinNutzer schrieb:
    --------------------------------------------------------------------------------
    > Browser geben anscheinend immer recht viele Daten preis... kann man sowas
    > denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Datenschutz kann nur klappen, wenn es wirklich, wirklich einfach geht

    Autor Mit_linux_wär_das_nicht_passiert 05.12.12 - 23:21

    > Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts
    > nicht IMHO.

    Klar gibt's das, zumindest für den Firefox. Allerdings nicht DAU-kompatibel und auch nicht besonders populär.

    Die Lösung muss anders aussehen: Ein HTTP-Proxy im heimischen DSL-Router, der die Infos von jedem Computer, Mobilgerät, Webradio, etc. im Haus herausfiltert. Sowas als Voreinstellung von einem großen Provider wie der Telekom oder 1&1 wäre ein tolles Signal.

    Es gibt ein Kickstarter-Projekt, das das Problem lösen könnte: Ein Proxy in Hardware: http://www.getadtrap.com/
    Das Problem ist nur, dass ein solcher Proxy zwischen DSL-Modem und Switch/Access Point muss, und bei den meisten dürfte das heute in ein und demselben Gerät stecken.



    1 mal bearbeitet, zuletzt am 05.12.12 23:22 durch Mit_linux_wär_das_nicht_passiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 06.12.12 - 00:26

    dass dafür das böse flasch verantwortlich ist, und js nur mittler spielt (wie eigentlich immer bekommts der überbringer ab) ... wieso lautet der artikel nicht 'browser fingerprint durch flash möglich'? gibt doch in flashfilmen die coole möglickeit fonts einzubetten? entschuldigt meine unwisseheit aber habe mit 4.0 angefangen und aufgehört, nicht, dass ich mir unter verktor/spline-grafik, tween-animation und (action)script nichts vorstellen kann ... da der bereich für mich nach eigener erfahrung nicht zum bajerefreiem webdesign gehören kann wird er von mir zwar genutzt aber selbst nicht bedient ... 'zusätzliches PLUGIN nötig' allein ist eigendlich doof, das wollte ich von mir aus nie jemandem aufzwingen.

    wie ich schon in einem anderem faden getipselt habe, finde ich auch die angaben einiger useragents nicht gut, das os brauch nicht genannt werden, Screen Width und Screen Height sind auch überflüssig da es ja Screen Avail Width und Screen Avail Height gibt, Http Accept Language/Navigator Language werden oft genug überstrapaziert und bieten bei richtig eingesetzten TLDs keinen mehrwert ... .es sollte einfach spanisch sein, immer ansonsten erwirbt man einfach .de usw, die angaben hier können browser aber ganz gut selber regeln, wenn sie es den einfach mal anbieten würden ... finde vieles unter about:config nicht um das es hier geht.

    zu abschlissenden entfernen von unerwüschten/dann obsoleten funktionen ... meine rede, sehr gerne!

    abschliesend wieder das resume, die jsengine ansich ist nicht böse sie bekommt nur auf zuviele informationen ohne freigabe/willen des nutzers freihaus zugriff, NULL oder vereibarte dummyangaben, die durch den nutzer ergänzt werden könnten, währen ein gangbarer zwischeweg, das macht wie gesagt javascript ansich nicht zum teufel sondern die instanzen die freihaus zugriff auf vom benuter eventuell/also im standard immer nicht gewünschte informationen gewähren!



    2 mal bearbeitet, zuletzt am 06.12.12 00:38 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Schenker XMG P505 im Test: Flaches Gaming-Notebook mit überraschender GTX 970M
Schenker XMG P505 im Test
Flaches Gaming-Notebook mit überraschender GTX 970M
  1. Geforce GTX 980M und 970M Maxwell verdoppelt Spielgeschwindigkeit von Notebooks
  2. Toughbook CF-LX3 Panasonics leichtes Notebook mit der Lizenz zum Runterfallen
  3. Entwicklung vorerst eingestellt Notebooks mit Touch-Displays sind nicht gefragt

Legale Streaming-Anbieter im Test: Netflix allein macht auch nicht glücklich
Legale Streaming-Anbieter im Test
Netflix allein macht auch nicht glücklich
  1. Netflix-Statistik Die Schweiz streamt am schnellsten
  2. Deutsche Telekom Entertain ab dem 14. Oktober mit Netflix
  3. HTML5-Videostreaming Netflix bietet volle Linux-Unterstützung

Windows 10 Technical Preview ausprobiert: Die Sonne scheint aufs Startmenü
Windows 10 Technical Preview ausprobiert
Die Sonne scheint aufs Startmenü
  1. Build 9860 Windows 10 jetzt mit Info-Center für Benachrichtigungen
  2. Microsoft Neue Fensteranimationen für Windows 10
  3. Windows 10 Microsoft will nicht an das unbeliebte Windows 8 erinnern

  1. Pangu 1.0.1: Jailbreak für iOS 8.1
    Pangu 1.0.1
    Jailbreak für iOS 8.1

    Für iOS 8.1 soll es mit Pangu 1.0.1 einen Jailbreak geben, der aus China stammt. Er nutzt eine Lücke aus, die es ermöglicht, iPhones, iPads und den iPod touch zu entsperren, um Software installieren zu können, die nicht von Apple abgesegnet wurde.

  2. Gratiseinwilligung für Google: Verlage knicken beim Leistungsschutzrecht ein
    Gratiseinwilligung für Google
    Verlage knicken beim Leistungsschutzrecht ein

    Es war kaum anders zu erwarten: Die meisten in der VG Media organisierten Verlage wollen keine verkürzte Darstellung ihrer Links bei Google hinnehmen. Der Konzern lehnte zuvor eine Bitte um "Waffenruhe" ab.

  3. John Riccitiello: Ex-EA-Chef ist neuer Boss von Unity Technologies
    John Riccitiello
    Ex-EA-Chef ist neuer Boss von Unity Technologies

    Der Engine-Hersteller Unity Technologies steht unter neuer Führung: Gleichzeitig mit dem Rücktritt von Mitgründer David Helgason als CEO gibt das Unternehmen die Berufung von John Riccitiello als Nachfolger bekannt, dem ehemaligen Chef von Electronic Arts.


  1. 00:45

  2. 20:52

  3. 19:50

  4. 19:46

  5. 19:09

  6. 18:36

  7. 18:22

  8. 17:11