Canvas Fingerprinting

Canvas Fingerprinting ist ein Oberbegriff für unterschiedliche Tracking Methoden, die verschiedene Parameter verwenden, um einen Nutzer beim Surfen zu identifizieren. Dabei werden minimale Unterschiede in Betriebssystemen, Konfigurationen und Programmen bei der Darstellung von Webinhalten genutzt. Auf dieser Basis wird im Hintergrund ein sogenanntes Canvas-Bild erzeugt, das sich durch die genannten Parameter in der Darstellung unterscheidet. Nutzern können so eindeutige, personenunabhängige Identifikationsnummern (IDs) zugewiesen werden. Mithilfe dieser IDs können Anwender beim Besuch einer Website, die ebenfalls die Canvas-Tracking-Methode verwendet, auch ohne den Einsatz von Cookies identifiziert werden.

Allgemeine Informationen

Die Tracking-Methode beruht auf dem Canvas-Element, das zum Standardrepertoire in der Auszeichnungssprache HTML5 gehört. Das Canvas-Element ist ein Feld, in dem mithilfe von JavaScript in einem definierten Bereich gezeichnet werden kann.^[1] Es wird von allen aktuellen Browsern unterstützt und dient normalerweise zur Erstellung von Logos, Buttons und Grafiken. Es kann auch Text enthalten, wie es beim Canvas Fingerprinting der Fall ist.

Die Idee der Tracking-Methode wurde erstmals von zwei Forschern der Universität Kalifornien (Keaton Mowery und Hovav Shacham) formuliert: Das Canvas-Element könnte dazu dienen, einen individuellen Fingerabdruck zu erzeugen, der abhängig ist von den Konfigurationen des Clients – dem Computer des Anwenders.^[2]

Kurz darauf wurde ein Code für die Canvas-Methode von dem russischen Programmierer Valentin Vasilyev entwickelt und ins Netz gestellt, nachdem er die Studie entdeckte. Das Unternehmen Addthis nahm dies als Ausgangsbasis und entwickelte den Quellcode weiter, bis er als Tracking-Methode einsetzbar war.^[3]

Die Tracking-Methode wurde vor allem dadurch bekannt, dass sie das Nutzerverhalten aufzeichnen kann, ohne dass ein Cookie auf dem jeweiligen Endgerät des Nutzers hinterlegt werden muss.

Funktionsweise

Anders als bei Cookies werden beim Canvas Fingerprinting die relativ einzigartigen Merkmale des Computers, Tablets oder Smartphones des Nutzers verwendet, um ein sogenanntes Canvas-Bild zu erzeugen, welches einen kurzen Text enthält. Das Bild wird im Hintergrund geladen und nutzt dazu die Systemkonfigurationen des Anwenders. Das Aussehen des Bildes ist von den individuellen Parametern des Clients abhängig. Dazu gehören Betriebssystem, Browser, Grafikkarte, Grafiktreiber und installierte Fonts (Schriften).

Sie werden verwendet, um das Bild zu rendern, ohne dass der Nutzer davon Kenntnis erlangt. Es entsteht ein Fingerabdruck, der vom Server eine ID zugewiesen bekommt. Dieser erlaubt es, die Spuren des Nutzers im Internet verfolgen zu können, sobald er eine weitere Website besucht, bei der ebenfalls diese Tracking-Methode zum Einsatz kommt.^[4]

Canvas Fingerprinting verhindern

Das Canvas Fingerprinting wird als modernste Tracking-Methode beschrieben. Es nutzt keine Cookies und ist nur mit speziellen Mitteln zu verhindern.

Beispielsweise kann JavaScript deaktiviert werden. Dies führt allerdings dazu, dass ein Großteil der weltweit verfügbaren Websites nicht mehr richtig dargestellt wird.
Ein anderes Mittel ist Adblock Plus, das das Initiieren eines Scripts blockiert oder zumindest den Nutzer darüber informiert, dass im Hintergrund ein Script geladen wird. Hierzu müssen allerdings die Filterliste EasyPrivacy von Easylist und gegebenenfalls auch weitere Listen wie uBlock mit dem Adblocker verbunden werden.^[5]
Auch spezielle Tools oder Plugins wie Chameleon können Canvas Fingerprinting verhindern.^[6] Für Firefox gibt es zum Beispiel auch das Add-On CanvasBlocker, das Canvas Fingerprinting verhindern soll.
Schließlich können anonymisierende Netzwerke wie Tor oder Anonymsurfen verwendet werden, um den Canvas Fingerabdruck zu unterbinden.

Das Problem besteht jedoch darin, dass Nutzer relativ versiert im Umgang mit dem Computer und dem Internet sein müssen, um sich effektiv vor Canvas Fingerprinting zu schützen. Dieses Problem hat der Firefox-Browser bereits Ende 2017 erkannt und mit der Version Firefox 58 standardmäßig einen Canvasblocker eingeführt.^[7]

Bedeutung für die Webanalyse

Canvas Fingerprinting wird derzeit als nur bedingt akkurat eingestuft. Es kann nur 90% der Anwender richtig zuordnen. Einige Systemkonfigurationen können bei Anwendern ähnlich oder sogar gleich sein. In solchen Fällen ermittelt das Tracking für einen Anwender eine ID, tatsächlich steht die ID jedoch für zwei unterschiedliche Anwender. Hinzu kommt, dass Fingerprinting auf mobilen Endgeräten derzeit nur schlecht funktioniert.^[8]

Nichtsdestotrotz kommt Canvas Fingerprinting bereits bei 5,5% der 100.000 meistbesuchten Websites aus dem Alexa Ranking zum Einsatz. (Stand: 2014)^[9] Darunter befanden sich beispielsweise die Website der US-Regierung oder der Internetauftritt von T-Online. Auch viele Websites für Streaming von verschiedenen Inhalten verwenden offenbar das Canvas Fingerprinting.

Teilweise haben die Betreiber der Seiten keine Kenntnis dieser Methoden, da Unternehmen wie Addthis eigentlich für Bookmarking-Dienste integriert werden. Auch der Werbeanbieter Ligatus aus Deutschland steht in dem Verdacht, die Canvas-Methode ohne das Wissen der Werbepartner eingesetzt zu haben. Ziel sei es gewesen, einen Testlauf durchzuführen. Es wurden keinerlei Daten operativ verwendet.^[10] T-Online und Spiegel Online reagierten umgehend und haben das Canvas Fingerprinting unterbunden, nachdem dies bekannt wurde.

Einige Vorteile bringt die Trackingmethode mit sich: So ist auf diese Weise Tracking ohne personenbezogene Daten möglich. Darüber hinaus ist das Tracking auch ohne Cookies realisierbar. Es müssen also keine Daten auf dem Endgerät des Nutzers für das Tracking gespeichert werden. Das Canvas Fingerprinting befindet sich nach derzeitigem Stand noch in der Entwicklungsphase und wird womöglich zukünftig verbessert werden.^[11]

Nach verschiedenen Berichten im Jahr 2014 wurde das Thema wieder im Jahr 2017 aktuell, als Firefox angekündigt hatte, Canvas Fingerprinting mit der aktuellsten Browser-Version standardmäßig zu unterbinden.^[12]

Neue Relevanz hat das Thema mit der Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) erhalten. Denn ab dem 25. Mai 2018 müssen Webseitenbetreiber die strengen Richtlinien berücksichtigen. Hierzu gehören neue Informationspflichten über eingesetzte Trackingmethoden ebenso wie die Benennung von Verantwortlichen für den Datenschutz. Welchen Welche Entwicklung das Canvas Fingerprinting noch nimmt, ist offen. Das große Manko der Technik liegt noch in der unzureichenden Möglichkeit, eindeutig geräteübergreifend zu tracken.

Einzelnachweise

↑ What is Canvas? w3schools.com. Abgerufen am 08.12.2014
↑ Pixel Perfect: Fingerprinting Canvas in HTML5 cseweb.ucsd.edu. Abgerufen am 08.12.2014
↑ Meet the Online Tracking Device That is Virtually Impossible to Block propublica.org. Abgerufen am 08.12.2014
↑ Canvas-Fingerprinting: wie funktioniert’s und wie verhindert man Tracking? divsi.de. Abgerufen am 08.12.2014
↑ Author of Adblock Plus misrepresents his application re. canvas fingerprinting reddit.com. Abgerufen am 08.12.2014
↑ Canvas Fingerprinting: Adblock Plus stoppt Tracking chip.de. Abgerufen am 08.12.2014
↑ Firefox 58 to Block Canvas Browser Fingerprinting By Default to Stop Online Tracking thehackernews.com Abgerufen am 22.05.2018
↑ Canvas fingerprinting is like a cookie you can’t block, and thousands of sites are using it geek.com. Abgerufen am 08.12.2014
↑ The Web Never Forgets: Persistent Tracking Mechanisms in the Wild securehomes.esat.kuleuven.be. Abgerufen am 08.12.2014
↑ Cookies waren gestern faz.net. Abgerufen am 08.12.2014
↑ Canvas fingerprinting is tracking you, and you don't even know what it is venturebeat.com. Abgerufen am 08.12.2014
↑ Canvas-Fingerprinting: Firefox 58 sagt „Supercookies“ den Kampf an t3n.de Abgerufen am 22.05.2018

Weblinks

[1] What is Canvas? w3schools.com. Abgerufen am 08.12.2014

[2] Pixel Perfect: Fingerprinting Canvas in HTML5 cseweb.ucsd.edu. Abgerufen am 08.12.2014

[3] Meet the Online Tracking Device That is Virtually Impossible to Block propublica.org. Abgerufen am 08.12.2014

[4] Canvas-Fingerprinting: wie funktioniert’s und wie verhindert man Tracking? divsi.de. Abgerufen am 08.12.2014

[5] Author of Adblock Plus misrepresents his application re. canvas fingerprinting reddit.com. Abgerufen am 08.12.2014

[6] Canvas Fingerprinting: Adblock Plus stoppt Tracking chip.de. Abgerufen am 08.12.2014

[7] Firefox 58 to Block Canvas Browser Fingerprinting By Default to Stop Online Tracking thehackernews.com Abgerufen am 22.05.2018

[8] Canvas fingerprinting is like a cookie you can’t block, and thousands of sites are using it geek.com. Abgerufen am 08.12.2014

[9] The Web Never Forgets: Persistent Tracking Mechanisms in the Wild securehomes.esat.kuleuven.be. Abgerufen am 08.12.2014

[10] Cookies waren gestern faz.net. Abgerufen am 08.12.2014

[11] Canvas fingerprinting is tracking you, and you don't even know what it is venturebeat.com. Abgerufen am 08.12.2014

[12] Canvas-Fingerprinting: Firefox 58 sagt „Supercookies“ den Kampf an t3n.de Abgerufen am 22.05.2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]