Webseite zeigt, was Fingerprinting leisten kann

fingerprinting, private2560×1920 423 KB

Die Überwachung per Fingerprinting funktioniert trotz VPN und ganz ohne Cookies. Wer das live sehen will, sollte ein neues Portal besuchen.

Mit Brave werden bei mir folgende Daten ermittelt: IP-Adresse, Zeitzone, verwendeter Browser, Akkustatus, System- bzw. Browsersprache, Schriftarten, Cookies und sogar die Grafikkarte.

Im Mullvad-Browser ist es dasselbe, außer der GPU.

Wie kann ich verhindern, dass mit Brave die GPU ausgelesen wird?

Die beschriebene Seite mag nett die einzelnen Punkte beschreiben, es sind aber extrem wenig Punkte.

Es gibt bessere Fingerprint-Checker, z.B. https://amiunique.org/

Diese zeigt mehr Daten an. Und man sieht auch, von wie viel anderen Besuchern man sich eindeutig unterscheidet. Also z.B. man ist eindeutig identifizierbar, weil man sich von ca. 5 Mio anderen Besuchern unterscheidet.

Machen kann man dagegen meiner Meinung nach praktisch nichts, ohne dass das Browsen extrem eingeschränkt wird. Und selbst dann fällt man wieder auf.

Das einzige was ich mir vorstellen könnte, wäre ein VPN plus ein Browser der absichtlich zufällige ändernde aber plausible Daten liefert.

Ich frage mich eher, warum ein Webserver meinen Akkustand kennen muss bzw. wie er überhaupt da ´ran kommt.
GPU ist ein WebGL-Thema, das kann ggf. noch für Online-Gaming im Browser relevant sein und wird per WebGL übermittelt.

Seh ich genauso.

Gab´s früher sogar mal, als es den „portable Firefox“ gab. Der hatte immer die gleiche ID… aber das haben die Werbefuzzies natürlich schnell rausgefunden, dass das nicht mehr nutzbar war.

Eine Zeitlang war es auch zielführender, Cookies zu erlauben und autoatisiert zu löschen. Weil das Fingerprinting als unnötig (aufwändig) erachtet wurde, wenn Cookies da waren… Aber das ist leider auch vorbei.

Es ist einfach die Masse an Daten, die automatisiert aggreggiert und abgeglichen werden.

WebGL und WebGPU im Browser deaktivieren:

• Firefox:

1. Geben Sie about:config in die Adresszeile ein und bestätigen Sie die Warnung.
2. Suchen Sie nach webgl.disabled und ändern Sie den Wert per Doppelklick auf true.
3. Suchen Sie nach webgpu.disabled und setzen Sie diesen ebenfalls auf true.

• Chrome / Edge / Brave:

1. Öffnen Sie die Einstellungen und navigieren Sie zu System (oder suchen Sie nach Hardwarebeschleunigung).
2. Deaktivieren Sie die Option Hardwarebeschleunigung verwenden, falls verfügbar. Starten Sie den Browser neu.
3. (Hinweis: Dadurch wird WebGL global deaktiviert, was jedoch zu Einschränkungen bei browserbasierten Spielen oder 3D-Anwendungen führen kann.)

Witzigerweise ist man mit dem Ausschalten von WebGL und WebGPU noch besser identifizierbar.

Die Überlegung dahinter ist, dass vielleicht 98% der Benutzer eben diese Funktionen eingeschaltet haben. Bei ausgeschalteten Grafikfunktionen gehörst du zu den seltenen 2% der Benutzer und man dich noch besser erkennen.

Der Akkuzustand kann mit JavaScript angezeigt werden, wenn dein Browser Zugriff auf die Api zulässt:

navigator.getBattery().then(battery => {
  console.log(battery.level * 100 + "%");
});

Wobei bei meinem Browser 100% angezeigt wird, obwohl der Rechner nie so stark aufgeladen ist. Wird wohl 100% bei Netzbetrieb angenommen, anders kann ich mir das nicht erklären.

Dafür gibt es noch andere Werte:

• battery.charging – Boolean, ob gerade geladen wird (true/false)
• battery.chargingTime – Verbleibende Ladezeit (oder Infinity, wenn bereits voll)
• battery.dischargingTime – Verbleibende Entladezeit (wenn nicht am Netz)

Interessanterweise wurde diese API in manchen Browsern bereits eingeschränkt oder entfernt, da sie für Geräte-Fingerprinting genutzt werden kann.

GPU und Akkustand werden nicht übermittelt und der standort ist mit madrid ein witz, da ich auf einer insel bin. Gratuliere also zum auslesen der bildschirmauflösung meines pixel

Es geht darum, dich bzw dein Gerät zu identifizieren. Die einzelnen Details wie (Fake-) Standort und Bildschirmauflösung sind da nur einzelne Teile eines großen Puzzles. Alle Details zusammengenommen ergeben dann im schlimmsten Fall ein einzigartiges Gerät, das Akteure websiteübergreifend „verfolgen“ können. Das bereits oben erwähnte amiunique.org spuckt noch mehr Daten aus.

Schon erschreckend, wie viele Daten man preisgibt - und in meinem Fall trotz VPN, Canvas Blocker, Adblock via zwei Browsererweiterungen und zusätzlich entsprechendem DNS sowie Privacy Badger. Mein Browser gibt an meinem Laptop sogar weiter, dass ich per Mobilfunk und nicht per WLAN verbunden bin.

Es geht nicht darum sofort jemand direkt zu identifizieren. Eher in im Fundus wie in einem Puzzle zusammenzusetzen… und da inzwischen soviele Daten gesammelt werden ist oft genug ein Schnippsel dabei, der dann die Identität offenlegt. Losgelöst ein kleiner Schnippsel. Aber aggregiert mit den anderen vorhandenen Daten und einem guten Algo wird aus dem vermeintlichen anonymen Lesen von Medzinnachrichten ein Nutzer mit Namen und Adresse, der vermeintlich Pornos schaut, einen 70" OLED hat und an der Börse investiert ist.

Genug Futter für „zielgerichtete“ Kampagnen.

Grad mal angeklickt

You opened this page. It already knows the following.
Where you are
Toronto, Ontario, Canada
You appear to be in Toronto, Canada. Your internet provider is Mozilla Corporation. We know this because your IP address — 63.xxx.xxx.155 — was the first thing your device sent us. We know the rest of it. We chose not to display it. Most pages would not have made that choice. We did not ask for your location. Your address arrived before you did.

Nope i only use den neuen Mozilla VPN im Browser

AluHut Fraktion check

Nein, das hat nichts mit Alufolie zu tun, sondern mit Statistik.

Oder du hast ev. das Prinzip von Fingerprinting nicht verstanden. Hätten alle Benutzer die gleichen Einstellungen, wäre Fingerprinting sinnlos. Wie im richtigen Leben: Hätten alle Menschen den gleichen Fingerabdruck, müsste man die Abdrücke auf der Wache auch nicht abnehmen.

Ergo: Je ungewöhlicher deine Einstellungen sind, umso besser bist du identifizierbar, eben unique, einzigartig. Das will die Seite
https://amiunique.org/
aufzeigen.

Der von dir verlinkte Dienst zeigt sehr deutlich, wie unrealistisch es ist, im Internet vollständig „in der Masse unterzutauchen“. Selbst der Einsatz eines Tor‑Browsers hat klare Grenzen. Kaum jemand nutzt ihn in der strikten Grundeinstellung, ohne Erweiterungen, ohne Vollbildmodus und ohne individuelle Anpassungen – und genau diese Abweichungen machen Nutzer wieder identifizierbar.

Ein VPN kann zwar die Herkunfts‑IP verschleiern, schützt aber nicht vor erweiterten Tracking‑Methoden oder dem Auslesen detaillierter Browser‑ und Systemmerkmale. Moderne Fingerprinting‑Techniken sind inzwischen so komplex, dass jede zusätzliche Funktion oder Komforteinstellung den eigenen digitalen Fußabdruck weiter individualisiert.

Letztlich weiß man als Nutzer nie genau, welche Analyse‑ oder Tracking‑Verfahren bestimmte Betreiber tatsächlich einsetzen. Die Vorstellung völliger Anonymität und gleicher Fingerprint, ist daher eher theoretisch als realistisch.

Das stimmt: Durch das Deaktivieren bestimmter Funktionen oder den Einsatz zusätzlicher Erweiterungen wird der eigene Fingerabdruck häufig sogar noch individueller. Dadurch steigt die Wiedererkennbarkeit, statt sie zu verringern.

Den gibt es immer noch, bzw man kann ihn sich portable umbauen.
Ich benutze grundsaetzlich nur den Firefox in portable. Habe mehrere gleichzeitig am Laufen fuer je verschiedene Dinge die ich mache. Und in jedem ist eine anderer Proxy eingetragen.
Ja, den einzelnen Browser kann man immer noch fingerprinten, aber das stoert mich nicht, weil ich ja genau weiss dass google weiss was ich ueber Amazon bestellt habe. Google aus dem Browser weiss aber halt nicht was ich mit den anderen Browsern mache.

Und ja, auch da gibt es Moeglichkeiten ueber Schnittmengen was sonst alles gleich ist einen User wiederzuerkennen, aber es ist viel schwieriger und so wichtig bin ich dann doch nicht dass das FBI an mir interresiert ist.

Du hast meine Aussage leider genau falsch rum verstanden. Das war keine Kritik an deiner Aussage sondern im Gegenteil eine Befürwortung, man ordnet die 2% nur in die Gruppe Aluhut Fraktion ein.

Der wichtigste und zugleich einfachste Schutz gegen Fingerprinting wird auch hier nicht erwähnt: JavaScript ausschalten!
Ja, es gibt sch… programmierte Websites, die sogar für statische Inhalte JS haben wollen. (Dass ein Forum JS braucht, ist klar).
Und wenn es unbedingt sein muss, erlaube ich der Haupt-Domain JS (ggf. nur temporär). Das Fingerprinting wird ja häufig von Datensammlern und Dienstleistern mit anderen Domains ausgeführt, die bleiben verboten.
Mein Lieblingswerkzeug zur Kontrolle von JS ist NoScript.

Nein, ist nicht das gleiche. Der wurde damals zu portabel umgebaut und daher hatten alle die gleiche ID.
Wenn Du jetzt einen Runterlädst und selber portabel machst, hat er eine individuelle, da portabel jeweils neu erzeugt wird…

Dein Ansatz mag bei manchen Websites funktionieren. Aber viele Seiten haben so viele externe Dienste eingebunden, dass man erst ausprobieren muss, was man alles erlauben muss. Deshalb finde ich temporäre Regeln nicht zielführend.

Bei manchen Seiten reichen von zehn externen Domains vier, damit die Seite funktioniert. Andere wiederum brauchen unbedingt Dienste wie Cloudflare.com, Google APIs… Wenn ich Cloudflare explizit erlaube, kann ich aber andere Seiten nicht mehr aufrufen, weil sie dann wieder andere Tracker oder Skripte erzwingen.

NoScript ist mir dafür zu wenig differenziert. Fuer mich hat sich die Loesung als am besten herausgestellt, das ich verschiedene Browser / Profile nutze, die jeweils unterschiedlich konfiguriert sind und in einer Sandbox laufen. Kombiniert mit anderen Plugins ist das der bessere Weg.