Menü
Security

Fingerprinting: Viele Browser sind ohne Cookies identifizierbar

Von
vorlesen Drucken Kommentare lesen 254 Beiträge

Cookies sind heute Standard, wenn es darum geht, Browser eindeutig zu identifizieren – etwa für Marketing-Zwecke. Doch es geht auch ohne sie: Der Berliner Informatiker Henning Tillmann hat für seine Diplomarbeit den sogenannten Fingerprint von mehr als 20.000 Browsern untersucht. Im November und Dezember rief er dazu auf, eine speziell eingerichtete Website aufzurufen. Die sammelte dabei bei allen Besuchern die verwendeten Browser, die genutzten Betriebssysteme, Systemfarben, installierte Schriftarten, Plug-ins und mehr. Knapp 93 Prozent der digitalen Fingerabdrücke konnte er anschließend genau einem Browser zuordnen.

Dabei hat Tillmann viele interessante Details herausgefunden: So genügen nur vier Merkmale (Plug-ins, Schriftarten, unterstützte MIME-Typen und die User-Agent-Zeichenfolge), um eine Zuordnung von 87 Prozent zu erreichen. Er hat außerdem einen starken Unterschied zwischen Desktop- und Mobil-Browsern beobachtet. Generell gelte: Je stärker sich ein System anpassen lässt, desto eindeutiger der Fingerprint. iOS etwa lässt keine Installation von Schriften und Plug-ins zu. Daher konnte er unter iOS-Browsern nur 25 Prozent eindeutig zuordnen. Die Studie und die Rohdaten stehen auf der Homepage von Tillmann zum Herunterladen bereit.

Browser Fingerprinting ist schon längst kein theoretisches Konstrukt mehr, sondern wird bereits kommerziell eingesetzt. Der Werbevermarkter Zanox etwa nutzt Browser Fingerprinting. Browser-Fingerprinting-Techniken werden auch in fertigen Suiten angeboten, die Werbe-Unternehmen in ihren Anwendungen einsetzen können. Eine Gruppe von Forschern der Universität Leuven hat drei dieser Suiten in einem Paper genauer unter die Lupe genommen (PDF-Datei). Auch Google arbeitet an Ersatzverfahren für Cookies; allerdings ist hier zu Details noch nichts bekannt. (jo)