WEB TRACKING WIE WIR BEIM SURFEN VERFOLGT WERDEN Stefan Schlott / @_skyr
WER UND WARUM
SEITENBETREIBER Neugierde Infos für Partner, Management, Marketing: Was wird wie lange angesehen Welche Seiten werden in welcher Reihenfolge betrachtet Was führt zum Verkaufsabschluß
WERBEINDUSTRIE Werbebanner-Verkäufe Marktforschung seitenübergreifendes Tracking!
VISUALISIERUNG ( Lightbeam )
WIE: COOKIES
FUNKTION COOKIES (1)
FUNKTION COOKIES (2)
COOKIES LÖSCHEN Dilemma: Ohne Cookies funktioniert faktisch keine Webseite Cookies am Sitzungsende löschen : Sitzung wird faktisch nicht mehr beendet Addon Self-Destructing Cookies : Löscht Cookies x Sekunden nach Verlassen der Webseite (außer bei gesetzten Ausnahmen)
EINZIGARTIG?
GESCHWÄTZIGER BROWSER ( Panopticlick )
VIELE INFO-LECKS ( IP Check)
WIE: E-TAGS, LOKALER SPEICHER
E-TAG Ursprünglicher Zweck: Caching (bei unbestimmter Cache-Zeit) E-Tag = Fingerabdruck einer Datei Browser liefert E-Tag in Anfrage mit (wie Cookie) Server kann ggfs. mit ist nicht verändert antworten Mißbrauch als Cookie-Ersatz möglich
Addon E-TAG-PROBLEM VERMEIDEN Ausweg: Caching deaktivieren (auch nicht gut ): about:config, browser.cache.disk.enable, browser.cache.memory.enable http UserAgent Cleaner erlaubt es, E-Tag-Header zu blockieren
LOKALER SPEICHER Es gibt weiteren lokalen Speicher neben den Cookies! html5 Offline Web Content: Mindestens auf Rückfragen stellen Lokaler Flash-Speicher: Blockieren oder Rückfragen (über die Systemeinstellungen)
WIE: FINGERPRINTI NG
HEADER-FINGERPRINTING ( Panopticlick )
HEADER-FINGERPRINTING Kombination verschiedener Angaben macht Browser einmalig Abhilfe: Wenig Informationen streuen oder für ständig wechselnde Informationen sorgen
PLUGINS DEAKTIVIEREN Verschiedene Plugins (Java, Flash) verraten weitere Informationen über das System (außerdem sind sie für diverse Sicherheitsprobleme bekannt) Ganz sicher: Komplett deaktivieren Kompromiss zur Usability: Ask to Activate (zwar in der Fingerprint- Liste sichtbar, starten aber nicht von alleine)
SPRACH-VOREINSTELLUNG http accept header: Sprachpräferenz Wird von wenigen Webseiten genutzt Komfortabel: de-de, de, en-us, en Pessimistisch: en-us, en
VERWIRRENDE DATEN Addon http UserAgent Cleaner oder Addon Random Agent Spoofer Zufälliger Wechsel der Browser-Kennung (mit Vorsicht zu genießen) Verschleierte E-Tags senden Deaktivieren von Geo-Informationen uvm.
JAVASCRIPT DEAKTIVIEREN JavaScript: Eröffnet viele Tracking-Möglichkeiten Faktisch jede Webseite verläßt sich aber auf JavaScript Selektives Aktivieren von JavaScript mit NoScript Leider recht unkomfortabel
BLOCKIEREN VON TRACKERN
DO NOT TRACK Standardisierter Header bei http-anfragen Opt-Out: Ich will nicht überwacht werden! Nutzen zweifelhaft
DATENSCHNÜFFLER BLOCKIEREN Werbeblocker Adblock Edge kann nicht nur Werbung, sondern auch beliebige andere Elemente blockieren. Konfigurierbar über abonnierte Listen : EasyPrivacy+EasyList: Blockiert Werbung und viele bekannte Web Bugs Fanboy's Social Blocking List: Blockiert von Facebook & Co eingebettete Inhalte Malware Domains: Blockiert Webseiten, die als Virenschleudern bekannt sind
BLOCKIEREN: VOR- UND NACHTEILE Sehr komfortabel, hohe Usability Selektiver Eingriff, macht nichts kaputt Hilft nur gegen bekannte Tracker AdBlock: Automatische Updates der Filterlisten
WECHSEL ZWISCHEN ANFORDERUNG EN
MEHRERE BROWSER-PROFILE Sinnvoll zum Auflösen von Widersprüchen z.b. Google blocken und Google-Dienste nutzen
PRIVATE BROWSING Sandbox -Browsersitzung Cookies, etc. werden nach Schließen des Fensters gelöscht
RICHTIG ANONYM
TOR Bisher: Verhindern von Tracking durch Webseiten - auf Ebene von http IP-Adresse bis dato noch sichtbar TOR: Verschleiern der IP-Adresse TOR Browser Bundle : Vorkonfiguriertes TOR+Browser ohne Daten-Schlupflöcher TOR-Browser: Speziell angepaßte Firefox-Version, kümmert sich um die zuvor genannten Probleme
ES GEHT AUCH ANDERS!
DATENSPARSAME DIENSTE Nicht jeder Dienst ist an Personenprofilen interessiert! Bezahl-Dienste: Gewisse Chance, dass kein Tracking erfolgt Privacy-schützende Suchmaschinen: z.b. DuckDuckGo, ixquick Selbst gehostete Dienste: Eigener Mailserver, eigener Kalender/Adressbuch, etc. Heim-Hosting: Raspberry Pi plus z.b. arkos
FAZIT Regelmäßig alle Browser-Daten löschen (Cookies, Caches, Session beenden) Unterstützende Add-Ons verwenden Datenkraken vermeiden Persönlicher Tradeoff Komfort vs. Privatsphäre