Welche Daten können Websites aus dem Browser ziehen

[Pyrukar]

Hallo Zusammen,

dass Browser relativ viel über ein System verraten ist glaube ich hinglänglich bekannt und afaik relativ schwer zu verhindern ... Aber was bekommt ein Websitebetreiber eigentlich abgegriffen wenn man z.b. weder skripts noch cookies akzeptiert. btw. google Analytics o.ä. ist bei mir per NoScript geblockt.

Ich meine IP Adresse, Browser + Version, Betriebsystem, Auflösung ... Geschenkt - Das sind glaube ich so die Standards die da afaik rausgezogen werden.
Die Frage ist, was geht noch? -Falls es vom Browser abhängt: ich nutze hauptsächlich Firefox
-Hardware Details (MB, CPU, GPU)?
-Tabs die Gleichzeitig offen sind, Tabs die zuvor offen waren (mit aktivierter bzw. deaktivierter Chronik)?
-Website die zuletzt geöffnet war, website auf die man die eigene Website hin verlässt?

Wahrscheinlich hab ich, da ich kein IT Mensch bin jetzt die hälfte der Interessanten Fragen nicht gestellt also wenn euch was Offensichtliches Fehlt dann ergänzt es doch bitte einfach

und was ich auch noch Interessant fände: Wenn ich jetzt TOR nutze wird die IP verschleiert und schätzungsweise auch OS vom letzten Kettenglied angezeigt ... Aber was bekommt der Websitebetreiber als Browser angezeigt? Explizit TOR oder die entsprechende (meist etwas veraltetete) version von Firefox.

Gruß

Pyrukar

 

[Lawnmower]

Hardware Details: Nein (ausser es ist ein Drittprogramm/Addon/Plugin installiert dass das ermöglicht).
Offene Tabs: Nein
Webseite die zuletzt geöffnet war: Ja, u.U. erkennbar
Webseite auf die man wechselt: Nein.

Browserinfos bzw. das was man dann noch auslesen kann (User Agent), kann man alles leicht fälschen - das ist nicht fix. Ebenso Infos zum verwendeten Betriebssystem.

Kritischer sind heutzutage eher die digitalen Fingerprints die sich aufgrund diversen Eigenheiten und Eigenschaften zusammensetzen, intepretieren und Dich damit identifizieren lassen - auch wenn man alles mögliche geblockt, deaktiviert und verschleiert hat (je nachdem ist dann genauer oder wenig genau möglich, man kanns nur erschweren aber 100% verhindern geht wohl nicht).

 

[Hauro]

Aber was bekommt der Websitebetreiber als Browser angezeigt?

Ein Firefox User Agent: Mozilla/5.0 (X11; Linux x86_64; rv:60.0) Gecko/20100101 Firefox/60.0. Er kann, wie bei Firefox, geändert werden.

Aktuellen überprüfen: http://useragentstring.com/

Die Frage ist, was geht noch?

Browser Fingerprinting

Browser Fingerprinting | Henning Tillmann

Wer sich vor Tracking im Web schützen möchte, deaktiviert Cookies – so die landläufige Meinung. Jedoch hinterlässt jeder Webseitenaufruf eine Art digitalen Fingerabdruck, womit fast alle Internetnutzer wiederzuerkennen sind. In meiner Diplomarbeit und ausführlichen Feldstudie mit über 20.000 Browser Fingerprints konnte ich diese Annahme bestätigen.

Im November und Dezember 2012 sammelte ich über mein Projekt Browser Fingerprinting 23.709 digitale Fingerabdrücke. Die Website ermittelte im Hintergrund – natürlich mit Zustimmung der Nutzer – Informationen über den verwendeten Browser, das genutzte Betriebssystem, Systemfarben, installierte Schriftarten und Plugins, u. v. m. In einer anschließenden Analyse konnte ich zeigen, dass nach einer technisch notwendigen Bereinigung knapp 93% der digitalen Fingerabdrücke in dem Untersuchungszeitraum einzigartig waren.

Spoiler: Browser Fingerprinting - Eigenschaften

Eigenschaft
Id:
Uid:
Dt:
Ip:
Port:
Http Referrer:
Http User Agent:
Http Accept:
Http Accept Charset:
Http Accept Encoding:
Http Accept Language:
Png Id:
Document Referrer:
Navigator AppCodeName:
Navigator AppName:
Navigator AppVersion:
Navigator CookieEnabled:
Navigator Language:
Navigator Platform:
Navigator UserAgent:
Screen Width:
Screen Height:
Screen Avail Width:
Screen Avail Height:
Color Depth:
Dpi X:
Dpi Y:
DevicePixelRatio:
Timezone Offset:
Java Enabled:
Color Activeborder:
Color Activecaption:
Color Appworkspace:
Color Background:
Color Buttonface:
Color Buttonhighlight:
Color Buttonshadow:
Color Buttontext:
Color Captiontext:
Color Graytext:
Color Highlight:
Color Highlighttext:
Color Inactiveborder:
Color Inactivecaption:
Color Inactivecaptiontext:
Color Infobackground:
Color Infotext:
Color Menu:
Color Menutext:
Color Scrollbar:
Color Threeddarkshadow:
Color Threedface:
Color Threedhighlight:
Color Threedlightshadow:
Color Threedshadow:
Color Window:
Color Windowframe:
Color Windowtext:
Plugin Flash:
Plugin Adobe Acrobat:
Plugin Silverlight:
Plugins:
Plugins Hash:
Mimetypes:
Mimetypes Hash:
Fonts:
Fonts Hash:

Anmerkungen:

• Unter der PNG-Id wird die Id des ersten Aufrufs gespeichert. Sollte das Fingerprinting zum ersten Mal aufgerufen worden sein, entspricht die PNG-Id der normalen Id. Danach wird der Wert aus der gecachten Grafik gelesen (falls verfügbar).
• Unterschiedliche Browser ermöglichen unterschiedliche Abfragen. Falls Daten nicht ermittelt werden können, liegt dies häufig an dem verwendeten Browser. Falls Sie einen weiteren Browser installiert haben, können Sie das Projekt mit dem weiteren Browser aufrufen. Sie werden feststellen, dass sich bestimmte Angaben unterscheiden werden.
• Die Hash-Werte für Plugins, Mime-Types und Schriftarten (Fonts) werden von den Volltexten gebildet. Die Volltexte werden im Rahmen der Publizierung der Arbeit nicht veröffentlicht.

Prüfen ob der digitale Fingerabdruck einzigartig ist:
panopticlick.eff.org
Am I Unique?

HTTP Referrer

Referrer Policy für CSS | Mozilla Security Blog

Preventing data leaks by stripping path information in HTTP Referrers | Mozilla Security Blog

Firefox 59: Noch mehr Privatsphäre für den Privaten Modus | soeren-hentzschel.at

 

[Pyrukar]

Browserinfos bzw. das was man dann noch auslesen kann (User Agent), kann man alles leicht fälschen - das ist nicht fix. Ebenso Infos zum verwendeten Betriebssystem.

Okay also diese Daten sind einfach irgendwo im Browser hinterlegt und wenn man die Stelle kennt kann man da beliebiges Reinschreiben? Sprich ich könnte mit einem Linux ins Internet gehen aber beim Websitebetreiber wird Win10 angezeigt?!
Was außer IP Adresse und Größe des Fensters bzw Auflösung (bei Vollbild) sind denn dann überhaupt schwer Manipulierbar? Was genau meinst du, @Lawnmower, mit digitalen Fingerprints? Das sind doch hauptsächlich Cookies (dachte ich) Oder ist es gerade das Nichtzulassen der selbigen die zu einer Identifizierung führen ... aber wie?

@Hauro okay, interessant ... ich muss nichtmal was ändern und er schmeißt mir schon eine Fehlinformation raus ... "running on a Intel CPU" soweit ich weis Steht auf meinem Ryzen immer noch AMD Wenn ich das aber richtig verstanden habe kann man all diese Infos problemlos Manipulieren und btw. Wenn ich die Seite mit Vivaldi aufmache kommt noch mehr mist dabei Raus ... könnte daran Liegen dass ich Vivaldi nicht über den Offiziellen Weg installliert hab

Gruß
Pyrukar

 

[Hauro]

Wenn ich das aber richtig verstanden habe kann man all diese Infos problemlos Manipulieren

Einiges, wie User Agent, List of fonts, usw., kann geändert werden, was aber einen Einfluss auf die Darstellung und Funktion der Seiten haben kann. Beim Tor Browser sind ja bereits einige Standard-Einstellungen verändert worden.

The Tor network is a group of servers aimed at improving users anonymity by routing all their traffic through a dedicated network. The Tor browser is based on Firefox and it uses the Tor network. It has been heavily modified to limit as most as possible known fingerprinting techniques so that users share a unique fingerprint (even if in practice, the reality is a little bit different).

 

[Amaoto]

-Hardware Details (MB, CPU, GPU)?

Die GPU kann über WebGL ermittelt werden, z.B.

Die CPU damit evtl. indirekt über die GPU. Das "echte" Betriebssystem auch (wenn man es im User Agent geändert haben sollte).

-Tabs die Gleichzeitig offen sind, Tabs die zuvor offen waren (mit aktivierter bzw. deaktivierter Chronik)?

Wenn der Betreiber Zugriff auf entsprechende Seiten der Tabs hat, dann ja. Auch ohne JS können bestimmte Inhalte wiederholt nachgeladen werden und damit verraten, dass der jeweilige Tab noch offen ist.

-Website die zuletzt geöffnet war, website auf die man die eigene Website hin verlässt?

Die Websites, die zuvor geöffnet waren, siehe vorherigen Punkt. Die Website von der man kommt über den "Referrer". Die Website, die man als nächstes aufruft, ebenfalls siehe vorherigen Punkt.

Also im Grunde ist alles davon möglich.

 

[Pyrukar]

Wenn der Betreiber Zugriff auf entsprechende Seiten der Tabs hat, dann ja. Auch ohne JS können bestimmte Inhalte wiederholt nachgeladen werden und damit verraten, dass der jeweilige Tab noch offen ist.

okay ... verstehe ich das jetzt richtig: Wenn ich auf Amazon und Twitch gleichzeitig online bin kann Amazon das nachvollziehen ... wenn ich aber auf Amazon und Wikipedia unterwegs bin dann eher nicht ... was passiert wenn ich z.b. in Vivaldi Amazon aufhabe und in Firefox Twitch (oder umgekehrt) sprich es handelt sich nicht um Tabs sondern um eigene Browserinstanzen

 

[Amaoto]

Die IP-Adresse bleibt gleich. Somit hätte Amazon trotzdem die nötige Information.

 

[Pyrukar]

Die IP-Adresse bleibt gleich. Somit hätte Amazon trotzdem die nötige Information.

ja aber nur für die Twitch-Amazon geschichte und nicht Wikipedia-Amazon ... oder?

 

[Amaoto]

Ja, genau. Es sei denn man editiert auf Wikipedia einen Artikel ohne eingeloggt zu sein. Denn dann wird die IP-Adresse öffentlich einsehbar und Amazon könnte später trotzdem noch wissen, was man zur selben Zeit auf ihren Seiten gemacht hat.

 

[Pyrukar]

Ja, genau. Es sei denn man editiert auf Wikipedia einen Artikel ohne eingeloggt zu sein. Denn dann wird die IP-Adresse öffentlich einsehbar und Amazon könnte später trotzdem noch wissen, was man zur selben Zeit auf ihren Seiten gemacht hat.

Ja aber dafür müsste sich schon ein Amazonmitarbeiter persönlich dafür interessieren

 

[mensch183]

Ja aber dafür müsste sich schon ein Amazonmitarbeiter persönlich dafür interessieren

Irrtum. Dazu brauchts keinen Mitarbeiter. Sowas ist leicht automatisierbar. Es wäre für Amazon und ähnliche Datenkraken kein Problem, sämtliche dieser mit IP-Adresse auftauchenden Wikipedia-Änderungen mit in den eigenen Datenpool "einzupflegen" und zu anderweitig schon deanonymisierten IPs weitere Informationen zu persönlichen Interessen hinzuzufügen.

Man darf mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, das dies durch diverse Firmen und Dienste bereits seit vielen Jahren gemacht wird. Wikipedia ist eine Goldgrube für Datensammler.

 

[Nilo]

Mit der Auflösung auch das Format des Bildschirmes. Zumindest rät Tor dazu, den Browser nicht Vollbild zu nutzen, um eben die Art des Monitors zu verschleiern... Oder ist das Schwachsinn?

 

[Anons]

Besuche hierzu ipleak und sieh selbst, welche Daten ausgelesen werden. Außerdem solltest du auf Fingerprinting achten und deinen Browser anpassen.