Firefox 145: Mozilla schraubt am Fingerprinting-Schutz
von caschy | 20 Kommentare
Mozilla hat für Firefox 145 einen weiteren Schritt beim Schutz vor Fingerprinting angekündigt. Die neuen Funktionen sollen die Zahl der Nutzer, die sich eindeutig identifizieren lassen, weiter reduzieren. Zunächst gibt es die Verbesserungen nur im privaten Modus und bei aktiviertem strengen Tracking-Schutz, später sollen sie dann standardmäßig für alle aktiv sein.
Fingerprinting ist eine Methode, mit der sich Nutzer über verschiedene Webseiten und Browser-Sessions hinweg verfolgen lassen, selbst wenn Cookies blockiert sind oder der private Modus läuft. Dabei werden verschiedene Details wie Zeitzone, Hardware-Informationen und Browser-Eigenschaften zu einer Art digitalem Fingerabdruck kombiniert.
Firefox hat bereits seit 2021 schrittweise am Fingerprinting-Schutz gearbeitet. Die bisherigen Maßnahmen, die Mozilla als Phase 1 bezeichnet, haben die Verfolgbarkeit von 65 Prozent auf etwa 35 Prozent gedrückt. Jetzt kommt Phase 2, die weitere Informationsquellen abdichtet. So werden Anfragen zu installierten Schriftarten blockiert, Hardware-Details verschleiert, die Anzahl der Prozessorkerne versteckt und Multi-Touch-Unterstützung sowie Dock- oder Taskleisten-Dimensionen verborgen.
Mozilla kann allerdings nicht einfach alles blockieren, weil sonst legitime Webseiten-Funktionen kaputtgehen würden. Verschiedene Produktivitäts-Tools brauchen echte Echtzeit- und Standortdaten, um zu funktionieren. Wer Probleme mit den neuen Schutzmaßnahmen hat, kann sie für einzelne Webseiten deaktivieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Bei jeder Webseite poppt ein Cookiefenster auf, aber beim Fingerprinting kann man nicht alles blockieren, da *einige* legitime Webseitenfunktionen kaputt gehen können?
Irgendwie ein Widerspruch!
Nehmen wir mal eine Bestellseite wie Zalando. Was braucht die für Daten über mein System? Wenn ich etwas bestelle, bekommt sie meine Daten in der Eingabemaske. Meine Sprache könnte ich manuell einstellen, wenn sie nicht erkannt wird.
Eigentlich wäre um Erlaubnis fragen der beste Weg, und wenn die Seiten nicht korrekt funktionieren, merken sie es am Traffic.
Du hast das nicht verstanden! Es geht nicht darum, dass Daten über Dein System gesammelt werden, um sie auszuwerten.
Es geht darum, dass anhand dieser Daten ein Fingerabdruck von Dir erstellt wird, der Dich erkennbar macht, wenn Du wieder kommst. Das hat nur sekundär mit Daten über Dein System zu tun.
Und um auf Dein Beispiel einzugehen: wenn Du bei Zalando die Cookies abschaltest, dann ist z.B. ein Warenkorb nur noch eingeschränkt umsetzbar. Das ist der offizielle Teil, warum sowas gemacht wird. Der inoffizielle ist dann eben die weitergehende Auswertung Deines Verhaltens, anhand der Daten.
Die Daten selbst sind nur für Deine Identifizierung relevant!
Noch mehr Fragen? Mir gehen die Fragen jetzt schon auf den Sack.
Mozilla sollte die Sachen auch nicht verstecken sondern die abgefragten Daten auf jeder Seite ändern. Denn verstecken weckt nur noch mehr Begehrlichkeiten.
„Mozilla sollte die Sachen auch nicht verstecken sondern die abgefragten Daten auf jeder Seite ändern.“
Ich denke, dass die das schon machen, wo es nötig ist. Ob versteckte Daten Begehrlichkeiten weckt ist für die Identifizierung erstmal egal, es kommt nur drauf an, wie viele das auch verstecken. Im Zweifel machen dich „gelogene“ Daten noch identifizierbarer: Gibt an Windows zu sein (userAgent), reagiert aber wie Linux ist eindeutiger als gleich Linux anzugeben.
Andererseits ist es z.b. bei der Gamepad-API besser zu lügen, als zu verstecken, wenn Du ein Gamepad angeschlossen hast. Oder aber Fragen. Sollte nicht so häufig vorkommen, dass man ein GamePad am Browser verwendet.
Bei mir wird alles blockiert was auch geht, alles auf „streng“ eingestellt, Erweiterungen die alles mögliche Filtern, etc.pp. Und ja, manche Seiten funktionieren dann nicht mehr, dann werden diese halt vermieden/ ausgeschlossen. So einfach ist das.
Hast du den Artikel gelesen? Dein „streng“ bringt da gar nichts.
Ich schon.
Die aktuelle Konfiguration hat schon die Verfolgbarkeit auf etwa ein drittel reduziert, die kommenden Maßnahmen sollen diese weiter reduzieren. 😉
Alles zu blockieren unterscheidet Sie auch wieder von >90% der Web-Nutzer und ist somit eine weitere Fingerprinting-Quelle 😛
Ähnlich wie VPN als Privatanwender einen Streisand-Effekt verursacht und genau durch dessen Einsatz die Aufmerksamkeit auf einen lenkt.
Ja, da ist was dran. Bin aber ganz bestimmt nicht der einzige, was das Ganze dann etwas relativiert… 😉
Wenn man die Skripte blockiert, die einen identifizieren würden, ist das dann nicht mehr so schlimm.
Boah. Leute. Ihr wisst nicht, was „Fingerprinting“ ist. Das ist kein Häkchen, dass man irgendwo ausschalten könnte!
Fingerprinting funktioniert, indem man möglichst viele Informationen über den Browser einsammelt. Zum Beispiel die installierten Schriftarten, das Timing um 5000x einen Sinus auszurechnen, die Bildschirmgröße – und -so – weiter.
Alle diese Funktionen braucht der Browser, um sinnvolle Dinge damit zu tun. Man kann die nicht abschalten. Also klar, könnte man irgendwie fälschen, aber dann würde eine Website halt den Font XYZABC nutzen, von dem der Browser grad behauptet hat, er hat den, dabei hat er den gar nicht.
Bitte einfach vorstellen wie ein 10 Jahre altes Auto. Ab Werk sind die noch alle gleich, nach 10 Jahren machen sie individuelle Geräusche. haben individuelle Kratzer etc., und das ist in der Praxis eine bessere ID als das Kennzeichen.
Falls jemand eine großartige Idee hat, wie man Fingerprinting auf 0 runterschrauben kann ohne 1000de anständige Websites zu ruinieren, gern raus damit.
Firefox kann „Letterboxing“: das stellt die Webseite nur auf ein vielfaches von 200px Auflösung dar (z.B. 1200×800) und zeigt ansonsten einen grauen Rahmen. Das schränkt die Möglichkeiten schon sehr ein.
Außerdem wird die Genauigkeit des Timings herabgesetzt, so dass Dein Beispiel auch nicht mehr funktioniert, die Webseiten normalerweise aber nicht beeinträchtigt.
Fingerprintig läuft hauptsächlich in JavaScript, dass kann man blockieren. Teilweise reicht es aus, bestimmte APIs zu blockieren (z.B. für GamePads).
All das (und mehr) lässt sich in Firefox entsprechend mit einem einzigen Schalter aktivieren. Die Informationen, die man über den Browser erhalten kann, werden so vereinheitlicht, so das einzelne Fingerprints deutlich mehr Browser abdecken und so nutzloser werden.
Ich glaube, dass Du keine Ahnung hast, wie das Anti-Fingerprintig in Firefox funktioniert.
Bei „Javascript deaktivieren“ hätte ich fast aufgehört zu lesen. Gibt es ausser “about:blank“ noch irgendeine Seite, die dann noch funktioniert?
Abgesehen davon hast Du meinen Kommentar nicht gelesen. Genau das habe ich doch erklärt, dass Fingerprinting etwas anderes ist, als weiter oben erwähnt wurde, von wegen „noch ein Schalter mehr“…
Ich begrüße durchaus, was Firefox hier tut — aber sobald Du auch nur einen speziellen Font auf dem Firmenrechner hast, ist das halt kaum mehr zu verhindern.
Bitte entschuldige: Ich habe mich ungenau ausgedrückt. Ich meine selbstverständlich nur die Tracking-Skripte, nicht JavaScript komplett.
Du hast meinen Kommentar auch nicht gelesen. Firefox hat einen Schalter, der das Fingerprinting minimiert. Zugegeben: es ist nicht perfekt und man kann man noch in about:config weitere Optionen aktivieren. Z.B. kann man das Auslesen der installierten Fonts abschalten. Dann gibt es nur Basisfonts.
Aber Du hast auch Recht: Wenn man Fingerprinting komplett verhindert ist surfen nicht mehr möglich. Aber möglicherweise reicht ja ein Kompromiss?
Verstehe, ja, nur Tracking verhindern ist natürlich was anderes. Da ich uBlock Origin verwende, dürfte Tracking für mich auch keine Rolle beim Fingerprinting spielen.
Die großen Einfallstore für Fingerprinting scheinen WebGL und Canvas zu sein.
P.S.: Ich nutze Firefox und habe grad mal https://coveryourtracks.eff.org ausprobiert — leider wie befürchtet: “Your browser has a nearly-unique fingerprint“ und “Within our dataset of several hundred thousand visitors tested in the past 45 days, only one in 60281.0 browsers have the same fingerprint as yours.“
Das wird mir beim Mullvad Browser auch angezeigt!
Beim Brave Browser lautet das Ergebnis des Testes: „your browser has a randomized fingerprint“
Ja und? Das sagt genau nichts aus. Was bringt es, wenn man jedes mal einen andere eindeutigen Fingerprint bekommt? Genau: das Fingerprinting ist wirkungslos!
Das bestätigt auch mein Test: Ich habe jedes mal andere Werte bekommen. Das Fingerprinting hat bei mir offensichtlich nicht funktioniert! Oder der Test hat keine Aussagekraft und gibt nur Zufallswerte aus. Einen anderen Test, den ich vor Jahren mal gemacht habe und das gleiche Ergebnis hatte, habe ich leider nicht mehr wiedergefunden.
Wenn Firefox ein Häkchen reinprogrammiert um das Sammeln der Informationen bzw. das Generieren des Fingerprints abzuschalten dann ist es abschaltbar. Dass der Browser die Informationen teilweise heute schon liest, z.B. um Websites optimal darzustellen ist was anderes.
Our tests indicate that you have strong protection against Web tracking.
IS YOUR BROWSER:
Blocking tracking ads? Yes
Blocking invisible trackers? Yes
Protecting you from fingerprinting? ◕ your browser has a randomized fingerprint
So viel zu „Ihr wisst nicht was fingerprinting ist“ … Und das unter Safari auf iOS, noch Fragen? Wie ich weiter oben schon schrieb, es kommt sehr darauf an wie man sein Browser, System, Netzwerk einstellt.