Im Moment geistern Horrormeldungen von wegen Tracking mit Canvas über visuelle Fingerprints durch die Medien (etwa Spiegel Online – https://www.spiegel.de/netzwelt/web/canvas-fingerprinting-macht-internetnutzung-nachverfolgbar-a-982280.html).
Mit Canvas zu zeichnen hat aber erst einmal gar nichst mit Tracking und Fingerpriniting zu tun. Es ist nur eine bequeme Möglichkeit den Fingerprint lokal zu speichern. So what?
Erst auf einen externen Rechner ist die Information kritisch und da interessieren nur die Fingerprint-Informationen, nicht das Bild. Die notwendigen Daten kann man bei jeder Anfrage eines Browsers erheben – das ist mittlerweile wohl altbekannt. Mit dem Zeichnen von einem Canvas wird das Fingerprinting nur lokal genutzt. Warum den Server belasten, wenn es am Client brachliegende Ressoucen gibt?
Und bevor „Schlauberger“ wieder auf JavaScript schimpfen – ohne geht es nicht mehr im Web und wenn JavaScript deaktiviert ist, dann halt die relevanten Daten für den Fingerprint auf den Server übertragen und dort errechnet.
Aber was gibt es als Schutz gegen das Fingerprinting und das Tracking – wenn man wirklich diese Anonymität braucht?
- Gegen das Fingerprinting kann man sich ganz einfach schützen – man geht nicht ins Internet oder am besten schaltet man keine Computer an. Das wirkt auf jeden Fall. Und nur das! Der Fingerprint kann niemals verhindert werden.
- Aber weshalb die Panik? Der Fingerabdruck ist ja nicht (!) eindeutig und nachvollziehbar, wenn man etwas aufpasst. Und das ist die Antwort auf Teil 2 der Frage. Einfach, aber etwas unbequem führt man Fingerabdrücke ad absurdum. Natürlich verwenden man Tor oder ein VPN, aber gegen den Fingerprint hilft das direkt nicht ausreichend. Damit ist nur die Lokalität verschleiert, die aber beim Fingerprint nur einen Teil der Datenbasis darstellt und die durch Fuzzylogik ausgeglichen werden kann. Nun gilt natürlich immer, dass man nach jeder Browsersession den gesamten Browserverlauf löscht und/oder sowieso nichts cachen lässt. Dazu haut man bei jedem Schließen des Browsers noch alle Cookies weg (aus Tradition – die braucht kein Tracker mehr wirklich), insbesondere aber die Flash-Cookies. Und den LocalStorage leeren. Das ist trivial, weil das verschiedene Browser-Addons machen können. Nun ist man schon so weit, dass der Treffer bei einem Fingerprint nicht mehr richtig gut sein sollte. Aber immer noch so, dass man mit einer hohen Wahrscheinlichkeit identifziert werden kann, wenn sich jemand wirklich Mühe macht oder den automatisierten Aufwand treibt.
Aber auch diesem Resrisiko kann man begegnen.
Man verwendet einfach eine Reihe von verschiedenen VM, über die man wechselseitig ins Web geht. Dann können die Tracker zwar immer noch den Fingerprint erstellen, aber eben nur virtuelle Fingerprints tracken. Und die sind nicht mehr zuordenbar und ändern sich für jeden Anwender nach zufälligen Kriterien.