Support-Forum

Fingerprinting

Fragen zum anonymen und spurlosen Surfen im Internet. Fragen zur Konfiguration, zum Security Slider und das Tor-Netzwerk.
In der Friedrich-Alexander-Universität Erlangen-Nürnberg läuft z. Zt. ein Versuch, Nutzer an Hand ihres Fingerprintes wieder zu erkennen. An dieser Aktion habe ich mich einige Male mit meiner Trutzbox im Transparent- Modus und Werkseinstellungen beteiligt. Erstaunt war ich, dass ich in der Auswertung jedes mal die Meldung „Ihr aktueller Browser Fingerprint ist einzigartig“; und somit wieder erkennbar, lesen konnte. Ein umstellen des Gerätetypes auf Android in der Trutzbox brachte auch nichts. Stellenweise, aber nicht immer, wurde die tatsächliche Windows-Browser Kombination meines Rechners erkannt. Nach Aussage von Mitarbeitern der Uni werden diese Daten und andere mit JavaScript(JS) ermittelt.
Nach meiner Meinung ist bei immer mehr Web- Seiten, insbesondere bei denjenigen bei denen man sich einloggen muss, das Einschalten von JS Voraussetzung für die Nutzung der Seiten. Ein Abschalten von JS ist somit nicht praktikabel.
Bisher dachte ich immer , ich würde mit einem neutralen Geräteprofil unterwegs sein und damit eine Identifizierung unterbinden können. Macht unter diesen Gesichtspunkten der Einsatz von Trutzbox zum Surfen noch Sinn?

MfG
kfn
Wir kennen diesen Fingerprint-Test recht gut und stehen mit den "Machern" dieses Tests der Universität Erlangen-Nürnberg in Verbindung. Auf deren Seite ist unter https://browser-fingerprint.cs.fau.de/faq/?lang=de#q15 recht gut beschrieben, wie der Fingerprint-Test abläuft.

Sowohl dieser Fingerprint-Test, als auch die meisten anderen Fingerprint-Tests, die im Internet verfügbar sind, ermitteln mit Java-Script eindeutige Attribute des Browsers und Betriebssystems und setzen damit einen "Fingerabdruck" des benutzen Geräts zusammen. Bei einem echten Tracker wird dann allerdings das Abliefern des Fingerabdrucks zum Tracker-Server durch die TrutzBox dadurch verhindert, da der Tracker in der Blocking-Liste stehen sollte und die TrutzBox die Verbindung zum Tracker-Server verhindert.

Weitere Profildaten werden normaler Weise auch durch http-Parameter an den Server übermittelt (z.B. "user-agent"). Wenn die TrutzBox den Zugriff zu einem Server nicht verhindert, dann verändert die TrutzBox diese http-Parameter in der Art, dass falsche Profildaten an den Server geliefert werden. Der Fingerprint-Test-Server ist nicht in der Lage zu erkennen, dass diese Werte nicht der Realität entsprechen.

In Verbindung dieser Massnahmen mit dem Verhindern von Third-Party-Cookies, sind durch die TrutzBox, trotz erlaubter Java-Scripts, Tracker kaum mehr in der Lage, einen eindeutigen Fingerprint zu Ihres Geräts zu erstellen.
Hallo
Vielen Dank für Ihre Antwort.
Bei einem echten Tracker wird dann allerdings das Abliefern des Fingerabdrucks zum Tracker-Server durch die TrutzBox dadurch verhindert, da der Tracker in der Blocking-Liste stehen sollte und die TrutzBox die Verbindung zum Tracker-Server verhindert.
Nach meiner Meinung ist es bei Trackern so wie bei Viren. Sie werde nie alle rechtzeitig in der Blockingliste stehen und somit auch nicht alle abgefangen werden können.

Weitere Profildaten werden normaler Weise auch durch http-Parameter an den Server übermittelt (z.B. "user-agent"). Wenn die TrutzBox den Zugriff zu einem Server nicht verhindert, dann verändert die TrutzBox diese http-Parameter in der Art, dass falsche Profildaten an den Server geliefert werden.
Wie ich das obenstehend ja schon beschrieben hatte, wird trotz anderer Einstellung die tatsächliche Windows-Browser Kombination meines Rechners oft erkannt. Und dann sind H.Google und Kollegen einem eindeutigen Fingerprint schon ganz schön nahe.

In Verbindung dieser Massnahmen mit dem Verhindern von Third-Party-Cookies…
Viele Seiten lassen das Nutzen nur zu, wenn die Trutzbox auf Level 8 oder 9 eingestellt ist. Und somit bleibt ein ganz ungutes Gefühl.

MfG
kfn
Sie schreiben: "Viele Seiten lassen das Nutzen nur zu, wenn die Trutzbox auf Level 8 oder 9 eingestellt ist. ". Das ist allerdings nicht unsere Erfahrung. Es kommt eigentlich sehr selten vor, dass eine Web-Seite auf L8 oder L9 gestellt werden muss.

Können Sie uns ein paar Beispiele geben, die nur mit L8 oder L9 funktionieren und die wir einfach nachvollziehen können (also möglichst ohne dass wir ein Login für die Seite bräuchten)?

Ihr TrutzBox Support