Die Adobe-Variante

Eine andere Methode, Flash-Cookies aus dem System zu verbannen, offeriert der entsprechende Online-Dienst von Adobe. Dazu rufen Sie die entsprechende Webseite auf [11] und deaktivieren dort im Reiter Globale Speichereinstellungen die Optionen Zulassen, dass Flash-Inhalte von Drittanbietern Daten auf dem Computer speichern sowie Gemeinsame Flash-Inhalte speichern. Außerdem löschen Sie unter Website-Speichereinstellungen bestehende LSO-Cookies (Abbildung 5).

Abbildung 5: Adobe bietet ein Online-Tool zum Löschen von Inhalten.

Fazit

Zwar schlägt die Werbeindustrie förmlich Purzelbäume, um ahnungslose Websurfer auszuspähen, doch freie Entwickler engagieren sich mit mindestens ebensoviel Energie und stellen den Datenschutz selbst bei hochkomplizierter Spionagesoftware zeitnah sicher. So benötigen Sie nicht zwingend mehrere Browser-Addons, um lästige Plagegeister aus dem System zu entfernen, sondern lassen diese Ausspähversuche mit wenigen Mausklicks elegant ins Leere laufen.

Trotzdem empfiehlt es sich, mit einer Kombination aus Addons und dem Tool Bleachbit das System sauber zu halten, da es dann weniger Schlupflöcher für Evercookies gibt. Canvas-Fingerprints lassen sich mithilfe des Firefox-Addons FireGloves effektiv und ohne großen Aufwand in die Irre führen. Da muss sich die Werbeindustrie zukünftig schon etwas ausgereiftere Mechanismen einfallen lassen, um die Anwender freier Software auszuspähen. 

Im Gespräch: Canvas-Fingerprinting und Evercookies

Bei Canvas-Fingerprinting und Evercookies handelt es sich um zwei noch relativ unbekannte Methoden, das Surfverhalten von Internet-Nutzern auszuspähen. Wir fragten Florian Drechsler, E-Commerce-Experte, Webdesigner und Mitinhaber der Firma headtrip.io GbR aus Nürnberg [12], nach seiner Einschätzung zukünftiger Entwicklungen und danach, wie sich Surfer am besten schützen.

LinuxUser: Das Canvas-Fingerprinting auf Webseiten erregte erstmals im Sommer vergangenen Jahres größere Aufmerksamkeit, als Forscher der Universitäten Leuven und Princeton diese Tracking-Methode auf nahezu sechs Prozent der untersuchten Webauftritte nachwiesen. Seither nahm das öffentliche Interesse an dieser Technik wieder etwas ab. Gibt es aus Ihrer Praxis heraus Anzeichen, dass Canvas-Fingerprints vermehrt zur Identifikation des Surfers und seines Surfverhaltens im Internet dienen?

Florian Drechsler: Eindeutig ja. Der registrierte Prozentsatz an betroffenen Webseiten ließ sich damals zu einem Großteil auf den Werbe-Dienstleister AddThis zurückführen, der die Canvas-Fingerprints offensichtlich zum Ausliefern personalisierter Anzeigen nutzte. AddThis reagierte allerdings rasch auf die Kritik und entfernte den entsprechenden Code. Nach meiner Erfahrung verbreitet sich Canvas-Fingerprinting jedoch definitiv – schon allein deshalb, weil viele E-Commerce-Firmen und Werbeplattformen darin eine Möglichkeit sehen, um Conversion-Rates durch personalisierte Inhalte zu erhöhen.

LU: Der Tor-Browser warnt auf vielen Webseiten vor einem Canvas-Fingerprint. Auch die Firefox-Extension CanvasBlocker weist oft darauf hin, dass Canvas-Elemente versuchen, Bilddateien zu extrahieren, die zum Ausspähen des Surfers dienen könnten. Analysen des Quellcodes der meisten betroffenen Webseiten zeigen, dass es sich bei dem bemängelten Canvas-Code offensichtlich um ein mit Wordpress**4.2 eingeführtes kleines Skript handelt, das prüft, ob Emojis zur Verfügung stehen. Geht von solchen Erweiterungen eine reale Gefahr aus, die es ermöglicht, Besucher dieser Webseiten auszuspähen?

FD: Das Emoji-Skript selbst ist harmlos. Die Gefahr liegt eher darin, dass hier ein unverfänglicher Einsatz des Canvas-Elements vorliegt, der Nutzer die Verwendung freigibt und dadurch dann weitere, eventuell bösartige Elemente erlaubt.

LU: Wie erkennen Surfer bei Hinweisen auf Canvas-Fingerprints, ob diese dem Tracking dienen?

FD: Wer nicht selbst den Code analysieren kann, dem bleibt nur übrig, sich – wie so oft bei der Internetsicherheit – auf den gesunden Menschenverstand zu verlassen. Dazu muss man jedoch erst einmal wissen, wie ein Canvas-Element funktioniert. Canvas-Elemente dienen der Webseite im Zusammenspiel als Leinwand zum Zeichnen, etwa für das Darstellen von 3D-Animationen oder für Browserspiele. Im Zweifelsfall sollte man erst einmal das Canvas-Element blockieren und anschließend versuchen, die Seite zu nutzen: Fehlt etwas, was irgendwie grafisch aufwendig dargestellt erscheinen sollte? Wenn ja, dann schalten Sie den Canvas wieder ein. Funktioniert die Seite allerdings auch ohne Canvas-Element, dann war es zumindest überflüssig oder dient tatsächlich dem Tracking der User.

LU: Evercookies stellen eine ähnlich aufwendig zu lokalisierende Tracking-Methode dar wie Canvas-Fingerprints. Wie schützt man sich dagegen?

FD: Installieren Sie die Firefox-Extension BetterPrivacy [13], die Flash-Cookies löscht, und nutzen Sie den Browser im privaten Modus. Benötigen Sie Plugins wie Silverlight und Flash nicht zwingen, dann schalten Sie sie ab – nicht nur wegen der Evercookies. Die sicherste Methode ist jedoch das Nutzen einer speziell gehärteten Linux-Distribution wie Tails [14].

LU: Wie schätzen Sie die Zukunft ein: Verbreiten sich Evercookies und Canvas-Fingerprints weiter?

Florian Drechsler: Die finale Version von HTML5 ist nun erst ein paar Monate alt; es dürfte noch einige Zeit dauern, bis alle Clients Canvas-Elemente überhaupt nutzen können. Je häufiger das Canvas-Element zum Einsatz kommt, umso attraktiver werden auch die Möglichkeiten, Canvas-Fingerprinting zu verwenden. Evercookies an sich gibt es schon seit über fünf Jahren, auch hier hört die Entwicklung nicht auf. Durch den Missbrauch neuer Browser-Technologien entstehen unter Umständen auch weitere Methoden, die das Speichern von Nutzerdaten erlauben. Gerade der Online-Handel profitiert von Evercookies und Canvas-Fingerprinting, da sich so das Surf-Verhalten der potenziellen Kunden verfolgen lässt. Ich gehe davon aus, dass diese Möglichkeit bei immer mehr E-Commerce-Unternehmen zum Einsatz kommt.

LU: Vielen Dank für die interessanten Hinweise und Ausblicke!

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...