Canvas-Fingerprinting: das steckt hinter dem Cookie-Nachfolger (2024)

Keaton Mowery und Hovav Shacham, Mitarbeiter der Universität Kaliforniens, formulierten 2012 in ihrer Arbeit „Pixel Perfect: Fingerprinting Canvas in HTML5“ erstmals die Idee des Fingerprint-Trackings. In der Publikation präsentierten sie ihre Überlegungen, dass mithilfe der mit HTML5 eingeführten Canvas-Elemente problemlos ein individueller Fingerabdruck auf Basis der Systemkonfigurationen der Webnutzer erzeugt werden kann. Inspiriert von der Arbeit der beiden Forscher, entwickelte und veröffentlichte der russische Programmierer Valentin Vasilyev ein Jahr später den ersten beispielhaften Canvas-Fingerprint-Code unter einer Open-Source-Lizenz auf GitHub. Sein Code diente Firmen wie AddThis und Ligatus als Basis, um dieses Tracking-Verfahren zu realisieren.

Bei den erwähnten Canvas-Elementen handelt es sich eigentlich um definierbare Bereiche (Höhe und Breite), in die per JavaScript gezeichnet werden kann, um beispielsweise Grafiken, Logos und Buttons inklusive Text zu kreieren. Je nach

• Betriebssystem,

• Browser,

• Grafikkarte,

• Grafikkartentreiber

• und installierten Fonts des Clients

fällt die Darstellung des Textes allerdings unterschiedlich aus, was das Canvas-Fingerprinting ermöglicht. Der Website-Betreiber benötigt zu diesem Zweck einzig den spezifizierten Canvas-Fingerprint-Code, der den Browser beim Seitenaufruf im Hintergrund zur Anzeige eines versteckten Textes via JavaScript veranlasst und die dadurch erhaltenen Informationen an den Webserver weiterleitet. Dank der Fülle an Merkmalen ist der auf diese Weise erstellte digitale Fingerabdruck in über 80 Prozent der Fälle einzigartig, wodurch er jederzeit wiedererkannt werden kann – insofern der Nutzer keine Veränderungen an den aufgezählten Systemkonfigurationen vornimmt.

Ein Canvas-Fingerprint enthält grundsätzlich nur die bisher erwähnten Informationen über System und Browser. Doch diese bieten bereits die Möglichkeit, Website-Besucher als einzelne Individuen zu identifizieren, um so im Anschluss ihr Surfverhalten nachzuverfolgen. Dabei kann es sich um die Aktivitäten auf einer einzigen, aber auch auf mehreren Websites handeln, insofern das Skript auf verschiedenen Seiten implementiert ist. Somit ist das Verfahren sowohl in Sachen Website-Optimierung als auch bei der Konzipierung zielgerichteter Werbung höchst interessant. Ein großer Pluspunkt der modernen Nutzerverfolgungs-Methode ist, dass sie keine personenbezogenen Daten sammelt. Das macht das Fingerprint-Tracking für Webanalytiker zu einer ernstzunehmenden Alternative zu Cookies, die rechtlich bedenklich sind und von vielen Nutzern blockiert und gelöscht werden.

Da der digitale Fingerabdruck im Gegensatz zum menschlichen nicht zu 100 Prozent einzigartig ist, sind allerdings auch die Ergebnisse des Canvas-Fingerprintings nicht immer aussagekräftig. So erhalten z.B. zwei Website-Besucher mit gleichen Konfigurationen nur eine Nutzer-ID, was die weiteren Untersuchungen entsprechend verfälscht. Da die Wahrscheinlichkeit einer solchen Übereinstimmung steigt, je mehr User verfolgt werden, wächst diese Problematik gemeinsam mit dem Traffic des untersuchten Webprojekts. Ein weiteres Problem des Fingerprint-Trackings entsteht bei der Identifizierung von Nutzern mobiler Geräte: Die verwendete Hard- und Software von Tablets und Smartphones sind in der Regel zu standardisiert, weshalb zu wenige Unterscheidungsmerkmale vorliegen, um einzigartige Fingerabdrücke zu erzeugen.

Im Gegensatz zu Cookies können Canvas-Fingerprints nicht einfach gelöscht werden, da die Daten direkt an den Server übermittelt werden – eine clientseitige Speicherung findet nicht statt. Entsprechend verhindert auch der Inkognito-Modus eines Browsers nicht, dass die Canvas-Skripte die System- und Browserinformationen ausspionieren. Schutzlos sind Nutzer gegenüber der Tracking-Methode dennoch nicht. Sie können das Ausführen der Skripte im Voraus unterbinden, was z.B. mit den folgenden Maßnahmen gelingt:

• Deaktivierung von JavaScript: Ohne JavaScript können die Canvas-Elemente nicht geladen und damit auch keine Informationen über den Client abgerufen werden. Da allerdings viele Websites JavaScript beinhalten, kann es vorkommen, dass diese mit deaktiviertem JavaScript nicht mehr korrekt angezeigt werden.

• Adblock Plus: Adblock Plus ist vor allem als Browser-Erweiterung zur Blockierung von Werbung bekannt. In Kombination mit der Filterliste EasyPrivacy sagt das Plug-in allerdings auch dem Fingerprint-Tracking den Kampf an.

• CanvasBlocker: Firefox-Nutzer erhalten mit dem Add-on CanvasBlocker verschiedene Optionen, Canvas-Fingerprinting zu blockieren. Es ist beispielsweise möglich, alle Canvas-Anfragen zu ignorieren oder die herausgegebenen Daten dahingehend zu manipulieren, dass das Fingerprinting immer einen anderen Wert erzeugt.