Browser wird zur verräterischen Gefahr

Anja Schütz, Christoph H. Hochstätter,

Eine neue Webseite der Electronic Frontier Foundation (EFF) macht aus scheinbar harmlosen Browserparametern einen digitalen Fingerabdruck. Die Organisation hat herausgefunden, dass es neben IP-Adresse und Cookies noch eine ganz andere Methode gibt, um einen Nutzer im Internet zu identifizieren. ZDNet Redakteur Christoph Hochstätter zeigt, wie damit jede Privatsphäre ausgehebelt wird.

Mit nur ein paar Zeilen Javascript-Code ist es möglich, so viele Informationen aus dem Browser des Benutzer herauszubekommen, dass es äußerst unwahrscheinlich ist, weltweit mehr als zehn Rechner zu finden, welche die gleichen Informationen liefern. Auf diese Weise lässt sich ein Nutzer auf einer Webseite immer wiedererkennen.

Das Ganze kann man auf der Panopticlick-Webseite der EFF ausprobieren. Dort kann man ablesen, welche Informationen jede beliebige Webseite von einem Browser bekommen kann. Aus dem Useragent-String ergibt sich, dass im ZDNet-Test Firefox 3.6 genutzt wurde. Der Accept-Header von Firefox-3.x-Browsern ist jedoch in den meisten Fällen sehr ähnlich. Unterschiede ergeben sich meist nur durch die Sprachversion.

Allerdings gibt es auch noch weitere Browser-Parameter, welche der jeweilige Betreiber einer Webseite abrufen kann. Bei Firefox bietet sich an, alle Plug-ins aufzulisten. Dabei kommt meist eine beachtliche Liste zusammen. Laut Statistik der EFF verwendet nur einer von 171.805 Browsern eine identische Liste von Plug-ins, so auch der Testrechner im ZDNet-Labor. Die EFF wertet neben den genannten Parametern die Bildschirmauflösung, die installierten Fonts und die eingestellte Zeitzone aus. Als Gesamtergebnis kann die EFF feststellen, dass nur einer von zirka 257.000 Browsern dieselben Parameter übermittelt wie der Testrechner aus dem ZDNet-Labor.

Doch ein Webseitenbetreiber, der einen Nutzer in der Praxis identifizieren möchte, muss einen größeren Aufwand betreiben. So wird ein Anwender über die Zeit weitere Plug-ins installieren und bestehende aktualisieren. Kauft er sich einen neuen Bildschirm, meldet der Browser eventuell eine andere Auflösung. Allerdings ändern sich meist nur wenige Parameter. Ein komplett neues Browserprofil erhält man in der Regel nur beim Kauf eines neuen Rechners.

Wer seine Anwender wiedererkennen möchte, muss also Heuristiken anwenden, wie viele Parameter sich in einem bestimmten Zeitraum ändern dürfen, so dass ein Benutzer als identifiziert gilt. Dabei bietet sich ein Punktesystem an, das Veränderungen bewertet. So ist es relativ unwahrscheinlich, dass ein Benutzer Fonts deinstalliert. Dass ein Anwender zusätzliche Schriftarten installiert, ist hingegen nichts Ungewöhnliches. Oft geschieht das sogar unbewusst durch die Installation einer neuen Anwendung.