Panopticlick ist ein Browsererkennungsdienst der Electronic Frontier Foundation. Beim Besuch der Webseite Panopticlick.eff.org wird versucht, durch Auslesen der vom Browser versendeten Informationen, wie eindeutig der Browser wiedererkannt werden kann. Diese Methoden wenden Tracking- und Werbenetzwerke ebenfalls an.

Werbenetzwerke leben davon, den betreffenden Nutzer so gut wie möglich zu erkennen und durch das Internet zu verfolgen. Dazu sind alle Mittel recht. Am einfchsten ist es jedoch, den Browser zu erkennen, den der Nutzer gerade verwendet. Solange der Nutzer vor diesem Browser sitzt, kann man ihn wiederfinden, auch wenn er versucht, seine Identität zu verschleiern. Deshalb versuchen die Netzwerke, alle nur erdenklichen Informationen aus dem Browser auszulesen.

Diese Programme sind leider äusserst geschwätzig, aus dem guten Vorsatz heraus, Webseitenprogrammierer und Nutzer die Darstellung und Funktionalität der Webseiten möglichst einfach zu gestalten. Leider bietet sich diese Geschwätzigkeit aber auch prima dazu an, den Nutzer auszuhorchen und dann zu bespitzeln.

Browser verraten vieles über ihren Benutzer

Man staunt, was der Browser so alles ausplaudert. Da sind natürlich sein eigener Name und seine Versionsnummer (user agent string), dann das Betriebssystem samt Versionsnummer, alle installierten Schriften, welche Plug-ins im Browser laufen (interessant bei notorisch sicherheitskritischen Plug-ins wie Flash) usw.

Panopticlick testet den Browser auf verschiedene Erkennungsmuster

Im Detail listet Panopticlick folgende Informationen auf:

  • Der user agent string des Browsers,
  • der HTTP ACCEPT header,
  • Bildschirmauflösung und Farbtiefe,
  • die Zeitzone,
  • die Browser extensions/plugins, wie Quicktime, Flash, Java oder Acrobat, die im Browser installiert sind und deren Versionen,
  • die installierten Schriftarten,
  • ob der Browser JavaScript scripts erlaubt,
  • ob der Browser cookies und “super cookies” erlaubt,
  • einen Hashwert des Bildschirms mittels canvas fingerprinting oder WebGL fingerprinting,
  • ob der Browser den “Do Not Track” header sendet,
  • die Betriebssystemversion und Sprachversion des Betriebssystems und
  • ob der Browser Touchscreen unterstützt.

Aus all diesen Angaben bauen Trackingserver jeweils eine eindeutige Trackingnummer, mit der ein Benutzer wieder erkannt werden kann. Panopticlick hat diese Methoden nachgebaut und zeigt dem Nutzer, was sein Browser so alles an Informationen in die Welt posaunt. Dazu liest es beim besuch der Webseite möglichst viele Informationen aus dem Browser aus und stellt sie auf der Webseite dar.

Das ist an sich schon mal ein Erlebnis. Interessanter ist jedoch, dass Panopticlick aus diesen Angaben einen statistischen Wert errechnet und in Relation zu anderen Browsern stellt. Daraus kann man sehen, wie eindeutig der eigene Browser ist.

Einen Tod muss man sterben

Die Methode ist, so gesehen, ganz schön fies. Denn je mehr ich versuche, einen Browser mit besonderen Hilfsmitteln wie Trackingschutz oder Add-ons zu vernageln, desto mehr ragt er natürlich aus der dumpfen Masse heraus. Andererseits kann ich mit Panopticlick widerum herausfinden, was mein Browser nach jeder Politur noch über sich verrät. Einen Tod muss man also sterben, die Frage ist, welcher weniger weh tut.

Ich empfehle deshalb Panopticlick, um Add-ons wie ReferrerControll oder SwitchProxy nach der Installation zu testen. Einfach geht es nicht. Wer sich mehr für das Thema interessiert, dem sei ein Bericht der EFF empfohlen: “How Unique Is Your Browser?, Proceedings of the Privacy Enhancing Technologies Symposium (PETS 2010), Springer Lecture Notes in Computer Science.

 

  • Pro: Testet der Browser auf verräterische Spuren, Testet der Browser und Privatsphäre-Add-ons auf Wirksamkeit, Bewertet den Browser auf seine Eindeutigkeit,
  • Contra: Verleitet dazu, den Browser nicht gegen Spionage zu schützen.

 

Link: