Canvas Fingerprinting

Canvas Fingerprinting ist ein Tracking-Modell, das verschiedene Parameter verwendet, um einen Nutzer beim Surfen zu identifizieren. Es verwendet die minimalen Unterschiede in Betriebssystemen, Konfigurationen und Programmen und erzeugt im Hintergrund ein sogenanntes Canvas-Bild, das sich durch die genannten Parameter in der Darstellung unterscheidet. Daraufhin werden Nutzern eindeutige, personenunabhängige Identifikationsnummern zugewiesen. Mithilfe dieser können Anwender beim Besuch einer Website, die ebenfalls die Canvas-Tracking-Methode verwendet, identifiziert werden.

Allgemeine Informationen

Die Tracking-Methode beruht auf dem Canvas-Element, das zum Standardrepertoire in der Auszeichnungssprache HTML5 gehört. Das Canvas-Element ist ein Feld, in dem mithilfe von JavaScript in einem definierten Bereich gezeichnet werden kann.[1] Es wird von allen aktuellen Browsern unterstützt und dient normalerweise zur Erstellung von Logos, Buttons und Grafiken. Es kann auch Text enthalten, wie es beim Canvas Fingerprinting der Fall ist.

Die Idee der Tracking-Methode wurde erstmals von zwei Forschern der Universität Kalifornien (Keaton Mowery und Hovav Shacham) formuliert: Das Canvas-Element könnte dazu dienen, einen individuellen Fingerabdruck zu erzeugen, der abhängig ist von den Konfigurationen des Clients – dem Computer des Anwenders.[2]

Kurz darauf wurde ein Code für die Canvas-Methode von dem russischen Programmierer Valentin Vasilyev entwickelt und ins Netz gestellt, nachdem er die Studie entdeckte. Das Unternehmen Addthis nahm dies als Ausgangsbasis und entwickelte den Quellcode weiter, bis er als Tracking-Methode einsetzbar war.[3]

Funktionsweise

Anders als bei Cookies werden beim Canvas Fingerprinting die relativ einzigartigen Merkmale des Computers, Tablets oder Smartphones des Nutzers verwendet, um ein sogenanntes Canvas-Bild zu erzeugen, welches einen kurzen Text enthält. Das Bild wird im Hintergrund geladen und nutzt dazu die Systemkonfigurationen des Anwenders. Das Aussehen des Bildes ist von den individuellen Parametern des Clients abhängig. Dazu gehören Betriebssystem, Browser, Grafikkarte, Grafiktreiber und installierte Fonts (Schriften).

Sie werden verwendet, um das Bild zu rendern, ohne dass der Nutzer davon Kenntnis erlangt. Es entsteht ein Fingerabdruck, der vom Server eine ID zugewiesen bekommt. Dieser erlaubt es, die Spuren des Nutzers im Internet verfolgen zu können, sobald er eine weitere Website besucht, bei der ebenfalls diese Tracking-Methode zum Einsatz kommt.[4]

Canvas Fingerprinting verhindern

Das Canvas Fingerprinting wird als modernste Tracking-Methode beschrieben. Es nutzt keine Cookies und ist nur mit speziellen Mitteln zu verhindern.

  • Beispielsweise kann JavaScript deaktiviert werden. Dies führt allerdings dazu, dass ein Großteil der weltweit verfügbaren Websites nicht mehr richtig dargestellt wird.
  • Ein anderes Mittel ist Adblock Plus, das das Initiieren eines Scripts blockiert oder zumindest den Nutzer darüber informiert, dass im Hintergrund ein Script geladen wird. Hierzu müssen allerdings die Filterliste EasyPrivacy von Easylist und gegebenenfalls auch weitere Listen wie uBlock mit dem Adblocker verbunden werden.[5]
  • Auch spezielle Tools oder Plugins wie Chameleon können Canvas Fingerprinting verhindern.[6]
  • Schließlich können anonymisierende Netzwerke wie Tor oder Anonymsurfen verwendet werden, um den Canvas Fingerabdruck zu unterbinden.

Das Problem besteht jedoch darin, dass Nutzer relativ versiert im Umgang mit dem Computer und dem Internet sein müssen, um sich effektiv vor Canvas Fingerprinting zu schützen.

Bedeutung für die Webanalyse

Canvas Fingerprinting wird derzeit als nur bedingt akkurat eingestuft. Es kann nur 90% der Anwender richtig zuordnen. Einige Systemkonfigurationen können bei Anwendern ähnlich oder sogar gleich sein. In solchen Fällen ermittelt das Tracking für einen Anwender eine ID, tatsächlich steht die ID jedoch für zwei unterschiedliche Anwender. Hinzu kommt, dass Fingerprinting auf mobilen Endgeräten derzeit nur schlecht funktioniert.[7]

Nichtsdestotrotz kommt Canvas Fingerprinting bereits bei 5,5% der 100.000 meistbesuchten Websites aus dem Alexa Ranking zum Einsatz.[8] Darunter befanden sich beispielsweise die Website der US-Regierung oder der Internetauftritt von T-Online. Auch viele Websites für Streaming von verschiedenen Inhalten verwenden offenbar das Canvas Fingerprinting.

Teilweise haben die Betreiber der Seiten keine Kenntnis dieser Methoden, da Unternehmen wie Addthis eigentlich für Bookmarking-Dienste integriert werden. Auch der Werbeanbieter Ligatus aus Deutschland steht in dem Verdacht, die Canvas-Methode ohne das Wissen der Werbepartner eingesetzt zu haben. Ziel sei es gewesen, einen Testlauf durchzuführen. Es wurden keinerlei Daten operativ verwendet.[9] T-Online und Spiegel Online reagierten umgehend und haben das Canvas Fingerprinting unterbunden, nachdem dies bekannt wurde.

Einige Vorteile müssen dem Fingerprinting allerdings zugestanden werden: Einerseits ist auf diese Weise ein Tracking ohne personenbezogene Daten möglich. Andererseits zeigt die Methode deutlich, dass Tracking auch ohne Cookies realisierbar ist. Das Canvas Fingerprinting befindet sich nach derzeitigem Stand noch in der Entwicklungsphase und wird womöglich zukünftig verbessert werden.[10]

Einzelnachweise

  1. What is Canvas? w3schools.com. Abgerufen am 08.12.2014
  2. Pixel Perfect: Fingerprinting Canvas in HTML5 cseweb.ucsd.edu. Abgerufen am 08.12.2014
  3. Meet the Online Tracking Device That is Virtually Impossible to Block propublica.org. Abgerufen am 08.12.2014
  4. Canvas-Fingerprinting: wie funktioniert’s und wie verhindert man Tracking? divsi.de. Abgerufen am 08.12.2014
  5. Author of Adblock Plus misrepresents his application re. canvas fingerprinting reddit.com. Abgerufen am 08.12.2014
  6. Canvas Fingerprinting: Adblock Plus stoppt Tracking chip.de. Abgerufen am 08.12.2014
  7. Canvas fingerprinting is like a cookie you can’t block, and thousands of sites are using it geek.com. Abgerufen am 08.12.2014
  8. The Web Never Forgets: Persistent Tracking Mechanisms in the Wild securehomes.esat.kuleuven.be. Abgerufen am 08.12.2014
  9. Cookies waren gestern faz.net. Abgerufen am 08.12.2014
  10. Canvas fingerprinting is tracking you, and you don't even know what it is venturebeat.com. Abgerufen am 08.12.2014

Weblinks

Kategorie

Verwandte Artikel