[CryptoParty] Platz frei: Open Source Camp, Idee Fingerprinter-Messung
an.to_n-73 at riseup.net
an.to_n-73 at riseup.net
Fr Mai 8 21:03:01 CEST 2015
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Hallo CryptopathInnen!
Es ist ein Platz fuer das Open Source Camp Wien (5) zu vergeben.
Ich habe die Projektidee eines Browseraddons zur Messung der
Fingerprinter fuer kommerzielle Ueberwachung eingereicht und wurde
angenommen, der Einreichungstext weiter unten.
Leider habe ich aus beruflichen Gruenden keine Zeit, hinzufahren.
Es geht darum, festzustellen, welche Drittparteien was vom
Browserfingerprint nehmen, um die NutzerInnen zu identifizieren, im
Prinzip eine Art Lightbeam fuer Drittpartei Javascript. Was das ist,
haben Bernhard und ich auf den Grazer Linuxtagen vorgestellt (1).
Um ein praktisches Beispiel zu geben:
Wenn man derstandard.at liest, wird im Hintergrund Javascript von
Google Analytics aufgerufen (6), was ein Drittpartei Fingerprinter ist
(7). Der liest dann unter anderem aus: User Agent,
Bildschirmaufloesung, Farbtiefe, Plugins uvm. (8).
Schon mit dieser weltweit _seltenen Kombination_ einzelner Merkmale
plus z. B. dem IP Standort ist man eindeutig identifizierbar. Die
brauchen gar keine Cookies oder Trackingpixel mehr, das ist sowas von
2000er.
Mir geht es darum, erstmal festzustellen, auf welchen Seiten was und
von wem gefingerprintet wird, um das Problem einschaetzen zu koennen.
Javascript einfach abzudrehen, ist zwar auch gegen 1st Fingerprinter
sicher, aber nicht immer machbar, weil die Seite dann nicht mehr geht.
Allerdings hat mir WhatAVenture schon geschrieben, dass es bereits
viele Einzelanmeldungen mit eigenen Ideen gibt und sich das
Fingerprinter Mess-AddOn evtl. nicht durchsetzen wird. In dem Fall
koennte man bei einer anderen Gruppe mitarbeiten.
=> Wer ernsthaftes Interesse an dem Platz hat, bitte bis
Mo, 11.5.
bei mir melden. Wir koennen dann telefonieren.
Viele Gruesse und schoenes WE!
Anton
++++++++++
Einreichung 26.4.2015
The objective is to create a browser addon for Firefox to measure the
datasets, which are used by commercial Javascript (JS) fingerprinters
on websites, mostly from 3rd party, to identify the users. For
Linuxtage Graz I measured the actual state of commercial internet
surveillance (1, p. 23) and recommend browser settings to counteract (2).
One result was, that many 3rd party fingerprinters are used on
Austrian sides. This is 3rd party webtracking, but with JS instead of
cookies. The only effective setting against this server-side mass
surveillance is to turn JS off, at least for 3rd parties, or in total.
I got to know from a web developer, that also commercial 1st party
fingerprinters are already in use on a small fraction of sides.
The main problem is, that one does not know, which properties of the
browsers are read by the fingerprinters. I only know from a reliable
source, that AdSpirit uses these properties
IP, browser, OS, time, timezone, screen resolution, colour depth, CPU
type, DNT header, language
which are partly sent by activated JS, and EFF found a Canvas
fingerprinter at whitehouse.gov (3).
But this is only a small part of the possible data, which can be
misused for fingerprinting, please see the test sites (4).
So with an addon, which measures the properties requested by the
fingerprinters, one would get an overwiew of the problem and could
specify future countermeasures.
The results could be published in realtime on a project website,
something like this:
1st party requested properties 3rd party requested properties
willhaben.at navigator.oscpu facebook.com navigator.userAgent
window.screen.pixelDepth navigator.plugins
... ...
adition.com Date.getTimezoneOffset
window.screen.width
navigator.battery
....
One would create public transparency, which fingerprinting
technologies are actually used, and could plan and readjust the
countermeasures.
++++++++++
1)
https://cryptoparty.at/_media/graz:2015-04-25_anton_bernhard_webtracking_p-8-correct.pdf
2)
https://cryptoparty.at/_media/graz:2015-04-24_anton_do-not-track.pdf
3)
https://www.eff.org/deeplinks/2014/07/white-house-website-includes-unique-non-cookie-tracker-despite-privacy-policy
4)
https://panopticlick.eff.org , https://amiunique.org ,
http://letmetrackyou.org/identify.php , http://browserspy.dk
5)
http://www.whataventure.com/netidee
6)
view-source:http://derstandard.at
Z14/1196 Aufruf google-analytics.com/analytics.js
7)
https://developers.google.com/analytics/devguides/collection/protocol/v1/parameters#system
8)
view-source:https://www.google-analytics.com/analytics.js
Z13/239 auslesen/setzen: adSenseId
Z14/5ff auslesen von: location, referrer, page, hostname, language,
encoding, title, screenColors, screenResolution, viewportSize,
javaEnabled, flashVersion
Z19/1288 Internet Explorer, auslesen mittels ActiveX: ShockwaveFlash
Z20/368 Durchmessung Seitenaufbau: webkitPerformance
Z 23/788 auslesen: d.plugins, d.userAgent, c.getTimezoneOffset(),
c.getYear(), c.getDate(), c.getHours(), c.getMinutes()
- --
an.to_n-73 at riseup dot net , PGP:
4096R, 0x49d1abf2a2a97d7d, 2013-12-08
0B4C DF2C CB22 5DF4 25EA F212 49D1 ABF2 A2A9 7D7D
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Icedove - http://www.enigmail.net/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=PzMf
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste CryptoParty