1. Foren
  2. » Kommentare
  3. » Security
  4. » Alle Kommentare zum Artikel
  5. » Tracking: Der verräterische…

Müssen Browser das denn immer preisgeben?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Müssen Browser das denn immer preisgeben?

    Autor IrgendeinNutzer 05.12.12 - 16:41

    Browser geben anscheinend immer recht viele Daten preis... kann man sowas denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:03

    Gibts kein Tool für. Den Referer kann man unterbinden und den User Agent faken, das hilft aber nur wenig. Es bleiben ca. ein halbes Dutzend Infos (Auflösung, Farbtiefe usw.), das reicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:16

    Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css setzt (egal ob der Font da ist oder nicht).

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:17

    Das muss man wohl mit JS auslesen, keine Ahnung. Browser Header sind das jedenfalls nicht, IMHO. Oder?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Müssen Browser das denn immer preisgeben?

    Autor dabbes 05.12.12 - 17:19

    Nein im Header sind die Daten nicht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:21

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Nein im Header sind die Daten nicht.

    Na wer weiss, was die Browser noch alles in die Gegend pusten. Bei Chrome habe ich immer das Gefühl, der postet meinen Kontostand ständig ins Netz! Also auf die Google-Server und da hats dann jeder :) Ist doch echt praktisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Browser ja, Proxys nicht

    Autor grumbazor 05.12.12 - 17:25

    du kannst dir nen Proxy zwischenklemmen der die Daten entsprechend manipuliert und z.B. beim Betriebssystem zufälligen mist ausgibt. Allerdings müssten dass mehrere User machen, ansonsten bist du einfach daran zu identifizieren dass du der bist bei dem zufälliger msit steht ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Müssen Browser das denn immer preisgeben?

    Autor luschi 05.12.12 - 17:25

    Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch will das der Browser immer mehr kann, und je er kann desto mehr gibt er natürlich auch Preis. Einfach alle Plugins inclusive Java-Script deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für Firefox, damit bleibt recht wenig übrig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Müssen Browser das denn immer preisgeben?

    Autor Baller-Joe 05.12.12 - 17:28

    luschi schrieb:
    --------------------------------------------------------------------------------
    > Steht doch im Artikel. Ist alles eine Frage der bequemlichkeit. Der Mensch
    > will das der Browser immer mehr kann, und je er kann desto mehr gibt er
    > natürlich auch Preis. Einfach alle Plugins inclusive Java-Script
    > deaktivieren und schon wird nur noch sehr wenig preisgegeben. Dafür lässt
    > dann wieder der Konfort nach.Soll der Inhalt an den Bildschirm angepasst
    > wird die Auflösung benötigt, logisch. Und so geht das weiter. Nötig oder
    > nicht liegt da wohl im Auge des Betrachter. Ich mag das NoScript Addon für
    > Firefox, damit bleibt recht wenig übrig.

    Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts nicht IMHO.
    Datenschutz interessiert offenbar niemanden. Komisch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Müssen Browser das denn immer preisgeben?

    Autor yeppi1 05.12.12 - 17:36

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > Wozu Fontdaten weitergeben werden ist mir leider auch nicht klar, da es
    > wohl keine Seite gibt die Fontdaten abfragt, sondern eigentlich nur per css
    > setzt (egal ob der Font da ist oder nicht).

    Also ich mich interessiert Werbung, daher kommen NoScript oder AdBlock für mich nicht in Frage. Aber Flash Werbung interessiert mich nicht, daher habe ich FlashBlock installiert. Und siehe da:
    >Fonts: Konnte nicht ermittelt werden.
    >Fonts Hash: Konnte nicht ermittelt werden.

    Wenn nun im Artikel steht, dass der fingerprint hauptsächlich mit den fonts funktioniert und das auslesen von fonts nur mit flash geht, ist das Problem Appleuser mal gar nicht vorhanden und für andere vielleicht immer weniger...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Müssen Browser das denn immer preisgeben?

    Autor robinx999 05.12.12 - 18:06

    Naja das Meiste kommt ja über Java Script.
    sieht man ja auch sehr gut über die seite https://panopticlick.eff.org/
    Mit ausgeschaltetem Javascript bleibt ja eigentlich nur noch der User Agent + HTTP_ACCEPT Headers Übrig, außerdem kann man noch abfragen ob cookies erlaubt sind und erkennt natürlich das ausgeschlatete Javascript (damit ist man ja auch schon recht selten)
    Wobei natürlich der Useragent auch schon zuviel verrät wenn ich lese: "Mozilla/5.0 (X11; Linux x86_64; rv:17.0) Gecko/17.0 Firefox/17.0" dann denkt man schon ist es wirklich nötig jedem webserver mitzuteilen dass man ein 64 Bit Linux nutzt.

    Wobei natürlich die Schriftarten schon den Vogel der Genauigkeit abschießen ich meine es gibt halt nicht viele leute die genau die gleichen 151 Schriftarten (welche Programme die auch immer mitgebracht haben) installiert haben wie ich. Aber das ist halt Javascript damit kann man schon an viele Infos kommen und abschalten ist auch nur bedingt eine lösung und addons mit denen man dann jede Webseite getrennt konfigurieren kann sind auch nicht sehr nutzerfreundlich.

    Aber naja gibt bestimmt auch irgendwo eine Webseite die erkennt, dass man die passende Schrift nicht hat und sie wird einem Dann zum download angeboten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 19:23

    Siehe http://pastebin.com/yUJvkj0K
    Einfach Flash ausschalten :P



    1 mal bearbeitet, zuletzt am 05.12.12 19:24 durch Max-M.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 19:36

    naja es ist nicht javascript ansich, vielmehr inwieweit der browser, der verwendeten scriptengine diese daten auch tatsächlich übergibt, die scriptengie läuft ja im kontext des browsers, sie ebend nicht einfach mit NULL oder ählichem auffüllt ...

    FF16 füllt bei mir zum bleistift den wert für Color Activecaption mit #a246a0 ... das LILA -*schüttel*- stimmt schonmal garnicht ... also sind dummywerte wohl kein ding, müssten nur mehr sein ...

    dass ff das os im useragent-string mit angibt ist überflüssig, alle ff varianteneiner version sollten gleiche ergebnisse in der darstellung produzieren ansonsten bräuchte man noch browser-os oder os-browser weichen ... *2. mal schüttel*

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 05.12.12 - 22:28

    da keiner darauf antwortet, alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen wie schriftartenlisten auzulesen vermag ... im header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher die differenzierung sicher gelingt, darüber hinaus ist der header unbrauchbar, der ganze rest komt dadurch, dass js die möglickeit hat enorm viel zu erfragen, und schlimmer noch enorm viel echte informationen bekommt (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den tasächelich installierten schriftarten einfach nur Times New Roman, Arial, Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind, damit geziehlt bestimmte js-abfragen einfach ad absurdum führen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Müssen Browser das denn immer preisgeben?

    Autor Max-M 05.12.12 - 22:49

    Die Fonts wurden über nen Flash Progrämmle ausgelesen und an JavaScript übergeben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Müssen Browser das denn immer preisgeben?

    Autor Spaghetticode 05.12.12 - 23:03

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > alles wollen js alle hassen es weil durch den browser(!) lokale ressourcen
    > wie schriftartenlisten auzulesen vermag
    Wie ich im Nachbarthread schon gesagt habe: Die installierten Schriftarten können nicht mit JavaScript, sondern nur mit Flash/Java ausgelesen werden. Ein einfaches Aktivieren von „click-to-play“ genügt, um das einfache Auslesen der Schriftarten zu verhindern.
    Es gibt aber die theoretische Möglichkeit, ohne Flash/Java/JavaScript abzufragen, ob eine Schriftart installiert ist.

    > ... im
    > header allein wird sowenig geparkt dass überspitzt gesagt, gerade mal bei
    > drei unterschiedlöichen nutzern mit drei unterschiedlichen browsern sicher
    > die differenzierung sicher gelingt, darüber hinaus ist der header
    > unbrauchbar
    Du widersprichst dir selbst. Entweder sind die Header zur Differenzierung brauchbar oder unbrauchbar.

    > (hier kann der browser den riegel vorscheben und z.B. unabhänglg von den
    > tasächelich installierten schriftarten einfach nur Times New Roman, Arial,
    > Courier New und Marlet angeben, egal ob diese wirklich vorhanden sind,
    Dann kann man die Funktionen gleich entfernen, weil sie damit obsolet werden. Den Riegel vorschieben müssen aber Adobe und Oracle (siehe oben).

    ___________________________________________________
    Dieser Benutzer besitzt ein paar Coinadressen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Müssen Browser das denn immer preisgeben?

    Autor flow77 05.12.12 - 23:18

    Nunja, man gibt nicht unbedingt gerne Infos raus wenn es nicht sein muss. Wenn ich in einen Kleiderladen gehe, dann muss ich auch preis geben welche Höhe und Breite ich denn habe, oder es wird eben abgemessen. Den Namen bekommen die ebenfalls, auch den Nachnamen, die CC Nummer und sicher auch einen Cam-Shot. Sie wissen was ich und für wie viel gekauft habe. Sie wissen ob ich öfters hier einkaufe, oder ob ich ein Neukunde bin. Sie wissen im Baumarkt ob ich einen Holzofen zu Hause habe, ob brav Energiesparlampen kaufe, ob ich mir im Buchladen Lektüre für Liebeskummer kaufe oder ob ich heute Besuch bekomme die gerne Wein oder Bier trinken.

    Aber um deine Frage zu beantworten, Dinge auszuschalten die eine Website ggf. benötigt um korrekt dargestellt zu werden ist imho Pflicht. Eine fehlende Auflösung die via JS abgefragt werden kann ist so wie wenn man in einem Kleidungsgeschäft keine Antwort auf die Frage "welche Maße" geben kann - das Ergebnis ist sicher ernüchternd.




    IrgendeinNutzer schrieb:
    --------------------------------------------------------------------------------
    > Browser geben anscheinend immer recht viele Daten preis... kann man sowas
    > denn nicht unterbinden oder sind die Daten technisch denn nötig?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Datenschutz kann nur klappen, wenn es wirklich, wirklich einfach geht

    Autor Mit_linux_wär_das_nicht_passiert 05.12.12 - 23:21

    > Es würde ein PlugIn reichen, das die Browser-Header killt oder faked. Gibts
    > nicht IMHO.

    Klar gibt's das, zumindest für den Firefox. Allerdings nicht DAU-kompatibel und auch nicht besonders populär.

    Die Lösung muss anders aussehen: Ein HTTP-Proxy im heimischen DSL-Router, der die Infos von jedem Computer, Mobilgerät, Webradio, etc. im Haus herausfiltert. Sowas als Voreinstellung von einem großen Provider wie der Telekom oder 1&1 wäre ein tolles Signal.

    Es gibt ein Kickstarter-Projekt, das das Problem lösen könnte: Ein Proxy in Hardware: http://www.getadtrap.com/
    Das Problem ist nur, dass ein solcher Proxy zwischen DSL-Modem und Switch/Access Point muss, und bei den meisten dürfte das heute in ein und demselben Gerät stecken.



    1 mal bearbeitet, zuletzt am 05.12.12 23:22 durch Mit_linux_wär_das_nicht_passiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Müssen Browser das denn immer preisgeben?

    Autor Moe479 06.12.12 - 00:26

    dass dafür das böse flasch verantwortlich ist, und js nur mittler spielt (wie eigentlich immer bekommts der überbringer ab) ... wieso lautet der artikel nicht 'browser fingerprint durch flash möglich'? gibt doch in flashfilmen die coole möglickeit fonts einzubetten? entschuldigt meine unwisseheit aber habe mit 4.0 angefangen und aufgehört, nicht, dass ich mir unter verktor/spline-grafik, tween-animation und (action)script nichts vorstellen kann ... da der bereich für mich nach eigener erfahrung nicht zum bajerefreiem webdesign gehören kann wird er von mir zwar genutzt aber selbst nicht bedient ... 'zusätzliches PLUGIN nötig' allein ist eigendlich doof, das wollte ich von mir aus nie jemandem aufzwingen.

    wie ich schon in einem anderem faden getipselt habe, finde ich auch die angaben einiger useragents nicht gut, das os brauch nicht genannt werden, Screen Width und Screen Height sind auch überflüssig da es ja Screen Avail Width und Screen Avail Height gibt, Http Accept Language/Navigator Language werden oft genug überstrapaziert und bieten bei richtig eingesetzten TLDs keinen mehrwert ... .es sollte einfach spanisch sein, immer ansonsten erwirbt man einfach .de usw, die angaben hier können browser aber ganz gut selber regeln, wenn sie es den einfach mal anbieten würden ... finde vieles unter about:config nicht um das es hier geht.

    zu abschlissenden entfernen von unerwüschten/dann obsoleten funktionen ... meine rede, sehr gerne!

    abschliesend wieder das resume, die jsengine ansich ist nicht böse sie bekommt nur auf zuviele informationen ohne freigabe/willen des nutzers freihaus zugriff, NULL oder vereibarte dummyangaben, die durch den nutzer ergänzt werden könnten, währen ein gangbarer zwischeweg, das macht wie gesagt javascript ansich nicht zum teufel sondern die instanzen die freihaus zugriff auf vom benuter eventuell/also im standard immer nicht gewünschte informationen gewähren!



    2 mal bearbeitet, zuletzt am 06.12.12 00:38 durch Moe479.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Windows 8.1 Update 1 im Test: Ein lohnenswertes Miniupdate
Windows 8.1 Update 1 im Test
Ein lohnenswertes Miniupdate

Microsoft geht wieder einen Schritt zurück in die Zukunft. Mit dem Update 1 baut der Konzern erneut Funktionen ein, die vor allem für Mausschubser gedacht sind. Wir haben uns das Miniupdate für Windows 8.1 pünktlich zur Veröffentlichung angesehen.

  1. Microsoft Installationsprobleme beim Windows 8.1 Update 1
  2. Windows 8.1 Update 1 Wieder mehr minimieren und schließen
  3. Microsoft Windows 8.1 Update 1 vorab verfügbar

Test Fifa Fußball-WM Brasilien 2014: Unkomplizierter Kick ins WM-Finale
Test Fifa Fußball-WM Brasilien 2014
Unkomplizierter Kick ins WM-Finale

Am 8. Juni 2014 bezieht die deutsche Nationalmannschaft ihr Trainingslager "Campo Bahia" in Brasilien, um einen Anlauf auf den Gewinn des WM-Pokals zu nehmen. Wer sichergehen will, dass es diesmal mit dem Titel klappt, kann zu Fifa Fußball-WM Brasilien 2014 greifen.

  1. Fifa WM 2014 Brasilien angespielt Mit Schweini & Co. nach Südamerika
  2. EA Sports Fifa kickt in Brasilien 2014

OpenSSL: Wichtige Fragen und Antworten zu Heartbleed
OpenSSL
Wichtige Fragen und Antworten zu Heartbleed

Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.

  1. OpenSSL OpenBSD mistet Code aus
  2. OpenSSL-Lücke Programmierer bezeichnet Heartbleed als Versehen
  3. OpenSSL-Bug Spuren von Heartbleed schon im November 2013

  1. Statt Asus: Google will Nexus 8 angeblich mit HTC produzieren
    Statt Asus
    Google will Nexus 8 angeblich mit HTC produzieren

    Google will sein neues Nexus-Tablet, das Nexus 8, laut Medienberichten zusammen mit HTC statt mit Asus fertigen. Das Tablet soll ab dem dritten Quartal 2014 verkauft werden.

  2. 25 Jahre Gameboy: Nintendos kultisch verehrte Daddelkiste
    25 Jahre Gameboy
    Nintendos kultisch verehrte Daddelkiste

    Der Gameboy ist gut gealtert - heute wird mit der Konsole Musik gemacht, und selbst Spieleprogrammierer werden beim Anblick des grauen 8-Bit-Klotzes nostalgisch.

  3. Digitalkamera: Panono macht Panoramen im Flug
    Digitalkamera
    Panono macht Panoramen im Flug

    Wenn Jonas Pfeil ein Panorama aufnimmt, stellt er nicht Kamera, Stativ und Panoramakopf auf, sondern wirft einen Ball in die Höhe. Um das Panorama anschließend zu betrachten, hantiert er mit einem Tablet. Der Berliner hat Golem.de seine Entwicklung erklärt.


  1. 13:11

  2. 11:35

  3. 11:30

  4. 11:24

  5. 16:17

  6. 15:00

  7. 12:36

  8. 12:00