1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tracking: Der verräterische…

Müssen Browser das denn immer preisgeben?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Müssen Browser das denn immer preisgeben?

    Autor IrgendeinNutzer 05.12.12 - 16:41

    Browser geben anscheinend immer recht viele Daten preis... kann man sowas denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:03

    Gibts kein Tool für. Den Referer kann man unterbinden und den User Agent faken, das hilft aber nur wenig. Es bleiben ca. ein halbes Dutzend Infos (Auflösung, Farbtiefe usw.), das reicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:16

    Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css setzt (egal ob der Font da ist oder nicht).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:17

    Das muss man wohl mit JS auslesen, keine Ahnung. Browser Header sind das jedenfalls nicht, IMHO. Oder?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:19

    Nein im Header sind die Daten nicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:21

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Nein im Header sind die Daten nicht.

    Na wer weiss, was die Browser noch alles in die Gegend pusten. Bei Chrome habe ich immer das Gefühl, der postet meinen Kontostand ständig ins Netz! Also auf die Google-Server und da hats dann jeder :) Ist doch echt praktisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Browser ja, Proxys nicht

    Autor grumbazor 05.12.12 - 17:25

    du kannst dir nen Proxy zwischenklemmen der die Daten entsprechend manipuliert und z.B. beim Betriebssystem zufälligen mist ausgibt. Allerdings müssten dass mehrere User machen, ansonsten bist du einfach daran zu identifizieren dass du der bist bei dem zufälliger msit steht ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Müssen Browser das denn immer preisgeben?

    Autor luschi 05.12.12 - 17:25

    Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch will das der Browser immer mehr kann, und je er kann desto mehr gibt er natürlich auch Preis. Einfach alle Plugins inclusive Java-Script deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für Firefox, damit bleibt recht wenig übrig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:28

    luschi schrieb:
    --------------------------------------------------------------------------------
    > Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch
    > will das der Browser immer mehr kann, und je er kann desto mehr gibt er
    > natürlich auch Preis. Einfach alle Plugins inclusive Java-Script
    > deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt
    > dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst
    > wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder
    > nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für
    > Firefox, damit bleibt recht wenig übrig.

    Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts nicht IMHO.
    Datenschutz interessiert offenbar niemanden. Komisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Müssen Browser das denn immer preisgeben?

    Autor yeppi1 05.12.12 - 17:36

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es
    > wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css
    > setzt (egal ob der Font da ist oder nicht).

    Also ich mich interessiert Werbung, daher kommen NoScript oder AdBlock für mich nicht in Frage. Aber Flash Werbung interessiert mich nicht, daher habe ich FlashBlock installiert. Und siehe da:
    >Fonts: Konnte nicht ermittelt werden.
    >Fonts Hash: Konnte nicht ermittelt werden.

    Wenn nun im Artikel steht, dass der fingerprint hauptsächlich mit den fonts funktioniert und das auslesen von fonts nur mit flash geht, ist das Problem Appleuser mal gar nicht vorhanden und für andere vielleicht immer weniger...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Müssen Browser das denn immer preisgeben?

    Autor robinx999 05.12.12 - 18:06

    Naja das Meiste kommt ja über Java Script.
    sieht man ja auch sehr gut über die seite https://panopticlick.eff.org/
    Mit ausgeschaltetem Javascript bleibt ja eigentlich nur noch der User Agent + HTTP_ACCEPT Headers Übrig, außerdem kann man noch abfragen ob cookies erlaubt sind und erkennt natürlich das ausgeschlatete Javascript (damit ist man ja auch schon recht selten)
    Wobei natürlich der Useragent auch schon zuviel verrät wenn ich lese: "Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/17.0 Firefox/17.0" dann denkt man schon ist es wirklich nötig jedem webserver mitzuteilen dass man ein 64 Bit Linux nutzt.

    Wobei natürlich die Schriftarten schon den Vogel der Genauigkeit abschießen ich meine es gibt halt nicht viele leute die genau die gleichen 151 Schriftarten (welche Programme die auch immer mitgebracht haben) installiert haben wie ich. Aber das ist halt Javascript damit kann man schon an viele Infos kommen und abschalten ist auch nur bedingt eine lösung und addons mit denen man dann jede Webseite getrennt konfigurieren kann sind auch nicht sehr nutzerfreundlich.

    Aber naja gibt bestimmt auch irgendwo eine Webseite die erkennt, dass man die passende Schrift nicht hat und sie wird einem Dann zum download angeboten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 19:23

    Siehe http://pastebin.com/yUJvkj0K
    Einfach Flash ausschalten :P



    1 mal bearbeitet, zuletzt am 05.12.12 19:24 durch Max-M.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 19:36

    naja es ist nicht javascript ansich, vielmehr inwieweit der browser, der verwendeten scriptengine diese daten auch tatsächlich übergibt, die scriptengie läuft ja im kontext des browsers, sie ebend nicht einfach mit NULL oder ählichem auffüllt ...

    FF16 füllt bei mir zum bleistift den wert für Color Activecaption mit #a246a0 ... das LILA -*schüttel*- stimmt schonmal garnicht ... also sind dummywerte wohl kein ding, müssten nur mehr sein ...

    dass ff das os im useragent-string mit angibt ist überflüssig, alle ff varianteneiner version sollten gleiche ergebnisse in der darstellung produzieren ansonsten bräuchte man noch browser-os oder os-browser weichen ... *2. mal schüttel*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 22:28

    da keiner darauf antwortet, alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen wie schriftartenlisten auzulesen vermag ... im header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher die differenzierung sicher gelingt, darüber hinaus ist der header unbrauchbar, der ganze rest komt dadurch, dass js die möglickeit hat enorm viel zu erfragen, und schlimmer noch enorm viel echte informationen bekommt (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den tasächelich installierten schriftarten einfach nur Times New Roman, Arial, Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind, damit geziehlt bestimmte js-abfragen einfach ad absurdum führen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 22:49

    Die Fonts wurden über nen Flash Progrämmle ausgelesen und an JavaScript übergeben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Müssen Browser das denn immer preisgeben?

    Autor Spaghetticode 05.12.12 - 23:03

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen
    > wie schriftartenlisten auzulesen vermag
    Wie ich im Nachbarthread schon gesagt habe: Die installierten Schriftarten können nicht mit JavaScript, sondern nur mit Flash/Java ausgelesen werden. Ein einfaches Aktivieren von „click-to-play“ genügt, um das einfache Auslesen der Schriftarten zu verhindern.
    Es gibt aber die theoretische Möglichkeit, ohne Flash/Java/JavaScript abzufragen, ob eine Schriftart installiert ist.

    > ... im
    > header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei
    > drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher
    > die differenzierung sicher gelingt, darüber hinaus ist der header
    > unbrauchbar
    Du widersprichst dir selbst. Entweder sind die Header zur Differenzierung brauchbar oder unbrauchbar.

    > (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den
    > tasächelich installierten schriftarten einfach nur Times New Roman, Arial,
    > Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind,
    Dann kann man die Funktionen gleich entfernen, weil sie damit obsolet werden. Den Riegel vorschieben müssen aber Adobe und Oracle (siehe oben).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Müssen Browser das denn immer preisgeben?

    Autor flow77 05.12.12 - 23:18

    Nunja, man gibt nicht unbedingt gerne Infos raus wenn es nicht sein muss. Wenn ich in einen Kleiderladen gehe, dann muss ich auch preis geben welche Höhe und Breite ich denn habe, oder es wird eben abgemessen. Den Namen bekommen die ebenfalls, auch den Nachnamen, die CC Nummer und sicher auch einen Cam-Shot. Sie wissen was ich und für wie viel gekauft habe. Sie wissen ob ich öfters hier einkaufe, oder ob ich ein Neukunde bin. Sie wissen im Baumarkt ob ich einen Holzofen zu Hause habe, ob brav Energiesparlampen kaufe, ob ich mir im Buchladen Lektüre für Liebeskummer kaufe oder ob ich heute Besuch bekomme die gerne Wein oder Bier trinken.

    Aber um deine Frage zu beantworten, Dinge auszuschalten die eine Website ggf. benötigt um korrekt dargestellt zu werden ist imho Pflicht. Eine fehlende Auflösung die via JS abgefragt werden kann ist so wie wenn man in einem Kleidungsgeschäft keine Antwort auf die Frage "welche Maße" geben kann - das Ergebnis ist sicher ernüchternd.




    IrgendeinNutzer schrieb:
    --------------------------------------------------------------------------------
    > Browser geben anscheinend immer recht viele Daten preis... kann man sowas
    > denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Datenschutz kann nur klappen, wenn es wirklich, wirklich einfach geht

    Autor Mit_linux_wär_das_nicht_passiert 05.12.12 - 23:21

    > Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts
    > nicht IMHO.

    Klar gibt's das, zumindest für den Firefox. Allerdings nicht DAU-kompatibel und auch nicht besonders populär.

    Die Lösung muss anders aussehen: Ein HTTP-Proxy im heimischen DSL-Router, der die Infos von jedem Computer, Mobilgerät, Webradio, etc. im Haus herausfiltert. Sowas als Voreinstellung von einem großen Provider wie der Telekom oder 1&1 wäre ein tolles Signal.

    Es gibt ein Kickstarter-Projekt, das das Problem lösen könnte: Ein Proxy in Hardware: http://www.getadtrap.com/
    Das Problem ist nur, dass ein solcher Proxy zwischen DSL-Modem und Switch/Access Point muss, und bei den meisten dürfte das heute in ein und demselben Gerät stecken.



    1 mal bearbeitet, zuletzt am 05.12.12 23:22 durch Mit_linux_wär_das_nicht_passiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 06.12.12 - 00:26

    dass dafür das böse flasch verantwortlich ist, und js nur mittler spielt (wie eigentlich immer bekommts der überbringer ab) ... wieso lautet der artikel nicht 'browser fingerprint durch flash möglich'? gibt doch in flashfilmen die coole möglickeit fonts einzubetten? entschuldigt meine unwisseheit aber habe mit 4.0 angefangen und aufgehört, nicht, dass ich mir unter verktor/spline-grafik, tween-animation und (action)script nichts vorstellen kann ... da der bereich für mich nach eigener erfahrung nicht zum bajerefreiem webdesign gehören kann wird er von mir zwar genutzt aber selbst nicht bedient ... 'zusätzliches PLUGIN nötig' allein ist eigendlich doof, das wollte ich von mir aus nie jemandem aufzwingen.

    wie ich schon in einem anderem faden getipselt habe, finde ich auch die angaben einiger useragents nicht gut, das os brauch nicht genannt werden, Screen Width und Screen Height sind auch überflüssig da es ja Screen Avail Width und Screen Avail Height gibt, Http Accept Language/Navigator Language werden oft genug überstrapaziert und bieten bei richtig eingesetzten TLDs keinen mehrwert ... .es sollte einfach spanisch sein, immer ansonsten erwirbt man einfach .de usw, die angaben hier können browser aber ganz gut selber regeln, wenn sie es den einfach mal anbieten würden ... finde vieles unter about:config nicht um das es hier geht.

    zu abschlissenden entfernen von unerwüschten/dann obsoleten funktionen ... meine rede, sehr gerne!

    abschliesend wieder das resume, die jsengine ansich ist nicht böse sie bekommt nur auf zuviele informationen ohne freigabe/willen des nutzers freihaus zugriff, NULL oder vereibarte dummyangaben, die durch den nutzer ergänzt werden könnten, währen ein gangbarer zwischeweg, das macht wie gesagt javascript ansich nicht zum teufel sondern die instanzen die freihaus zugriff auf vom benuter eventuell/also im standard immer nicht gewünschte informationen gewähren!



    2 mal bearbeitet, zuletzt am 06.12.12 00:38 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Sony RX100 Mark III im Test: Klein, super, teuer
Sony RX100 Mark III im Test
Klein, super, teuer
  1. Custom ROM Sonys Bootloader einfacher zu entsperren
  2. Sony Xperia T3 kommt als Xperia Style für 350 Euro
  3. Auge als Vorbild Sony entwickelt gekrümmte Kamerasensoren

Luftfahrt: Die Rückkehr der Überschallflieger
Luftfahrt
Die Rückkehr der Überschallflieger
  1. Verkehr FBI sorgt sich um autonome Autos als "tödliche Waffen"
  2. Steampunk High Tech trifft auf Dampfmaschine
  3. Aerovelo Eta Kanadier wollen mit 134-km/h-Fahrrad Weltrekord aufstellen

Programmcode: Ist das Kunst?
Programmcode
Ist das Kunst?
  1. Translate Community Nutzer sollen Google-Übersetzungen verbessern
  2. Google-Suchergebnisse EU-Datenschützer verlangen weltweite Löschung
  3. Google Apps for Business Sprint steigt bei Googles App-Programm ein

  1. Probleme mit der Haltbarkeit: Wearables gehen zu schnell kaputt
    Probleme mit der Haltbarkeit
    Wearables gehen zu schnell kaputt

    Die Hersteller von Wearables betreten in vielen Fällen Neuland: Sie haben schlicht keine Erfahrung mit Elektronik, die direkt am Körper getragen wird. Zu LGs und Samsungs Smartwatches gibt es Anwenderberichte, die auf schnellen Verschleiß, aber auch auf eine untaugliche Konstruktion hindeuten.

  2. Nachfolger von Brendan Eich: Chris Beard ist neuer Mozilla-Chef
    Nachfolger von Brendan Eich
    Chris Beard ist neuer Mozilla-Chef

    Mozilla hat Chris Beard nach einer Orientierungsphase zum neuen Chef ernannt. Zuvor war er schon Übergangschef und löste den vorherigen Chef Brendan Eich ab, den seine Haltung gegen die Gleichberechtigung homosexueller Paare sein Amt kostete.

  3. E-Plus: Berliner U-Bahn bis Jahresende mit UMTS und LTE ausgerüstet
    E-Plus
    Berliner U-Bahn bis Jahresende mit UMTS und LTE ausgerüstet

    E-Plus will seinen Kunden bis Ende 2014/Anfang 2015 schnelles mobiles Internet in der Berliner U-Bahn ermöglichen. Für das nächtliche Großprojekt mit dem Netzwerkausrüster ZTE ist ein weiteres Teilstück fertiggestellt worden.


  1. 22:24

  2. 20:51

  3. 19:20

  4. 19:03

  5. 18:18

  6. 17:17

  7. 17:13

  8. 17:08