Support-Forum

Fingerprinting

Fragen zum anonymen und spurlosen Surfen im Internet. Fragen zur Konfiguration, zum Security Slider und das Tor-Netzwerk.
In der Friedrich-Alexander-Universität Erlangen-Nürnberg läuft z. Zt. ein Versuch, Nutzer an Hand ihres Fingerprintes wieder zu erkennen. An dieser Aktion habe ich mich einige Male mit meiner Trutzbox im Transparent- Modus und Werkseinstellungen beteiligt. Erstaunt war ich, dass ich in der Auswertung jedes mal die Meldung „Ihr aktueller Browser Fingerprint ist einzigartig“; und somit wieder erkennbar, lesen konnte. Ein umstellen des Gerätetypes auf Android in der Trutzbox brachte auch nichts. Stellenweise, aber nicht immer, wurde die tatsächliche Windows-Browser Kombination meines Rechners erkannt. Nach Aussage von Mitarbeitern der Uni werden diese Daten und andere mit JavaScript(JS) ermittelt.
Nach meiner Meinung ist bei immer mehr Web- Seiten, insbesondere bei denjenigen bei denen man sich einloggen muss, das Einschalten von JS Voraussetzung für die Nutzung der Seiten. Ein Abschalten von JS ist somit nicht praktikabel.
Bisher dachte ich immer , ich würde mit einem neutralen Geräteprofil unterwegs sein und damit eine Identifizierung unterbinden können. Macht unter diesen Gesichtspunkten der Einsatz von Trutzbox zum Surfen noch Sinn?

MfG
kfn
Wir kennen diesen Fingerprint-Test recht gut und stehen mit den "Machern" dieses Tests der Universität Erlangen-Nürnberg in Verbindung. Auf deren Seite ist unter https://browser-fingerprint.cs.fau.de/faq/?lang=de#q15 recht gut beschrieben, wie der Fingerprint-Test abläuft.

Sowohl dieser Fingerprint-Test, als auch die meisten anderen Fingerprint-Tests, die im Internet verfügbar sind, ermitteln mit Java-Script eindeutige Attribute des Browsers und Betriebssystems und setzen damit einen "Fingerabdruck" des benutzen Geräts zusammen. Bei einem echten Tracker wird dann allerdings das Abliefern des Fingerabdrucks zum Tracker-Server durch die TrutzBox dadurch verhindert, da der Tracker in der Blocking-Liste stehen sollte und die TrutzBox die Verbindung zum Tracker-Server verhindert.

Weitere Profildaten werden normaler Weise auch durch http-Parameter an den Server übermittelt (z.B. "user-agent"). Wenn die TrutzBox den Zugriff zu einem Server nicht verhindert, dann verändert die TrutzBox diese http-Parameter in der Art, dass falsche Profildaten an den Server geliefert werden. Der Fingerprint-Test-Server ist nicht in der Lage zu erkennen, dass diese Werte nicht der Realität entsprechen.

In Verbindung dieser Massnahmen mit dem Verhindern von Third-Party-Cookies, sind durch die TrutzBox, trotz erlaubter Java-Scripts, Tracker kaum mehr in der Lage, einen eindeutigen Fingerprint zu Ihres Geräts zu erstellen.