Was tun gegen Canvas Fingerprinting?

  |   Source

Canvas Fingerprinting ist das neueste Schreckgespenst im bereich Tracking von Usern auf ihrem Weg durchs Web. Momentan nutzen ca. 5% der Websites die Technik, aber es ist zu befürchten, dass sich die Nutzung ausweitet, wenn nicht schnell Gegenmaßnahmen gegen die Technik gefunden werden. Also, was tun?

Um zu verstehen was wir gegen die Tracking-Technik tun können, müssen wir erst mal verstehen, was sie tut. Beim Canvas Fingerprinting fordert eine Webseite den Brwoser auf ein Bild zu zeichnen und nutzt dafür das <canvas> Element. In dem Bild werden verschiedene Buchstaben in mehreren Farben und Schriftarten gezeichnet. Abhängig davon welche Schriften intalliert sind, welchen Browser man Benutzt, wie die Hardware der Grafikkarte beschleunigte Befehle genau umsetzt, welches Betriebssystem in welcher Version eingesetzt wird, sieht das Bild, das der Browser zeichnet immer minimal anders aus. Nach dem Zeichnen wird das Bild binär ausgelesen und ein Hash gebildet. Der Hash fungiert als Fingerabdruck um den Nutzer zu identifizieren.

Der Tor-Browser z.B. blockt lesende Zugriffe auf Canvas-Elemente standardmäßig, aber andere Browser tun das nicht, weil es auch sinnvolle Anwendungen für solche Zugriffe gibt, bei denen nicht nur der Nutzer überwacht wird. Cookies zu Blockieren hilft gegen Canvas Fingerprinting nicht und auch Plugins wie AdblockPlus können die Privatsphäre des Nutzers momentan noch nicht sichern. Daher die Besorgnis z.B. in diesem Artikel bei Spiegel Online.

Nun nutzt die Technik aber nur dann etwas, wenn der so generierte Fingerabdruck sich nicht ständig ändert. Genau das ist aber eigentlich leicht zu erreichen. Ein kleiner Hauch von Zufall wie z.B. ein um einen Helligkeitswert unterschiedlichen Pixel in der Canvas führt zu einem komplett unterschiedlichen Hash und damit zu einem anderen Fingerabdruck. Wenn der Browser ein unsichtbares Rauschen in jedes <canvas>-Element einbauen würde, könnte es nicht mehr zum Tracking missbraucht werden. Hier sind also jetzt die Browserhersteller am Zug, so ein minimales Rauschen in die Bilder einzubauen. Und wir Nutzer sind am Zug, dieses Feature von Browser-Herstellern einzufordern.