Mozilla will ab Firefox 52 Font-Fingerprinting verhindern

Firefox (Grafik: Mozilla)

Als Font-Fingerprinting wird der Abruf aller auf einem Rechner installierten Schriftarten bezeichnet. Durch diese Kombination sind Rechner und damit Nutzer eindeutig zu identifizieren sind. Sie lassen sich so auch ohne Cookies und ohne ihre ausdrückliche Zustimmung bislang rechtlich einwandfrei über Seiten hinweg verfolgen.

Mozilla will mit der für März angekündigten Version 52 von Firefox auch eine Option zum besseren Schutz vor dem sogenannten Font-Fingerprinting ausliefern. Nutzer sollen dann eine Whitelist von zugelassenen Fonts anlegen können um zu verhindern, dass sie durch die Kombination aller auf ihrem Rechner installierten Schriftarten identifizierbar sind. Derartige Informationen können Websites derzeit mittels JavaScript einfach abrufen. Das funktioniert auch, wenn Anwender, so wie mit Vorschauversionen von Firefox seit Sommer 2016 möglich, mehrere Online-Identitäten in unterschiedlichen Tabs nutzen.

Font-Fingerprinting ist eine der beiden Möglichkeiten für digitales Fingerprinting. Als solches wird die Sammlung von gerätespezifischen Daten – dem Geräte-“Fingerabdruck” – bezeichnet. Ziel ist die Identifikation eines Nutzers für Werbezwecke über Websites hinweg und ohne auf sein Einverständnis angewiesen zu sein – also zum Beispiel wenn er Cookies nicht zugelassen hat oder sie regelmäßig löscht. Rechtlich ist das zumindest derzeit erlaubt.

Firefox (Grafik: Mozilla)

Informationen zum Betriebssystem, der Browserversion oder der Displayauflösung sind zwar für die korrekte Darstellung einer Website erforderlich und reichen alleine nicht aus, um ein Gerät eindeutig zu identifizieren. Allerdings liefern sie einen Fingerabdruck (sogenanntes Browser-Fingerprinting), der dann zusammen mit weiteren Informationen die Identifizierung ermöglichen kann.

Der Schutz vor Font-Fingerprinting ist in Vorschauversionen von Firefox bereits integriert. Mozilla übernimmt damit eine Funktion des Tor-Browsers. Der bietet zwar noch weit mehr Privatsphäre-Funktionen, die sind für einen verbreiteten Browser wie Firefox nicht alle praktisch umsetzbar.

Auch die Option gegen Font-Fingerprinting hat einige Einschränkungen. Erstens könnte die Darstellung von Websites – abhängig von den in der Whitelist angegebenen Fonts – anders als erwünscht ausfallen. Zweitens weist Sören Hentzschel etwa darauf hin, dass sie nichts bringt, wenn ein NPAPI-Plug-in wie Adobe Flash installiert ist. Denn ein Mittel zum Fingerprinting sind auch nicht sichtbare Flash-Inhalte. Die blockieren Firefox und Chrome schon eine Weile.

Im Wesentlichen handelt es sich dabei um Inhalte, die kleiner als 5 mal 5 Pixel sind. Sie dienen lediglich dem Zweck, die Flash-APIs enumerateFonts und ExternalInterface aufzurufen, um so eine Liste aller auf dem Rechner installierten Schriftarten erhalten, die der Anfragende – eine Website oder auch eine dort geschaltete Anzeige – dann für Fingerprinting verwenden kann. Google geht etwa davon aus, dass inzwischen rund 90 Prozent aller Flash-Elemente für Anwender nicht sichtbar sind. Sie haben für den Besucher einer Website also keinen Nutzen.

Mehr zum Thema

Alternativen für Reader, Photoshop & Co.

Der Flash-Player ist am Ende. Zum Glück, denn er ist ein Einfallstor für Trojaner und Hacker, und mit HTML5 gibt es einen passenden Ersatz. Doch ein Leben ganz ohne Adobe? Ohne Reader? Ohne Photoshop? Es ist möglich – mit Programmen, die dazu noch kostenlos sind.

Im August hatte die Münchner Firma Cliqz, Anbieter des gleichnamigen Browsers, darauf hingewiesen, dass auch Seiten, die “es gar nicht nötig haben” – konkret Online-Banking-Websites – Tracking verwenden. Nach Ansicht von Marc Al-Hames, Geschäftsführer der Cliqz GmbH, an der sich Mozilla kurz darauf beteiligt hat, gefährden manche Banken dadurch “unnötigerweise die Sicherheit und Privatsphäre ihrer Kunden.” Das Risikopotenzial hänge davon, wo die Tracker platziert sind und welche Technologien (Cookies, Fingerprinting, Javascript) verwendet werden.

In allen Fällen erhielten Dritte aber Dritte Daten, mit denen sie feststellen können, wer bei der Bank Kunde ist. Denkbar ist laut Al-Hames auch, dass durch die Verwendung von Javascript Angriffspunkte für Hacker entstehen. Die meisten Tracker bemerkten die Cliqz-Experten damals übrigens auf den Seiten von N26 (ehemals Number26). Dort wurden Daten beim oder nach dem Log-in sowie auf der Log-out-Seite unter anderem an Google und Facebook gesendet. Teilweise führte aber Software dritter Firmen auch Javascript auf den Seiten der Bank aus. Das FinTech-Start-up fiel auch diese Woche wieder im Hinblick auf Sicherheitsmängel unangenehm auf: Sicherheitsforscher Vincent Haupert hatte es sich herausgepickt, um daran auf dem 33C3 in Hamburg exemplarisch das mangelnde Sicherheitsbewusstsein der FinTech-Branche zu demonstrieren.

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.