Diese Woche geht es im Standpunkt Sicherheit um die cookie-lose Identifikation der Browser von Politikern, die Geschäfte mit Terroristen machen, die nicht kriminell sind, und dabei analoge Videokameras anzapfen - oder so ähnlich.

Mein Browser ist einmalig?

Die Electronic Frontier Foundation (EFF) stellt mit Panopticlick eine Website bereit, die zeigen soll, wie eindeutig ein Webbrowser auch ohne die Verwendung eines Cookies identifiziert werden kann. Dazu werden z.B. die installierten Plugins und vorhandenen Zeichensätze ausgewertet. Meine eigenen Beobachtungen ebenso wie Kommentare im Blog von Bruce Schneier lassen Zweifel an der Genauigkeit des Tests aufkommen.

Aus Mangel an Beweisen...

"Your browser fingerprint appears to be unique among the 438,167 tested so far." klingt erst mal bedrohlich, ist es aber meiner Ansicht nach ganz und gar nicht. Denn es zeigt eigentlich nur, dass bisher niemand außer mir mit einer deutschen Standardinstallation von Mac OS X 10.5.8 mit Safari die Website besucht hat. Sobald ein weiterer Nutzer mit dieser Installation die Seite besucht, gibt es schon 2 von 438167 oder mehr Tests mit identischem Ergebnis. Ähnlich sieht das Ergebnis beim Test mit Mac OS X 10.4 und 10.6 aus, egal ob mit Safari oder Firefox - würden bitte mal ein paar deutsche Mac-Nutzer die Seite besuchen, damit die Leute von der EFF ein bisschen mehr Ausgangsmaterial haben? Nicht mal eine halbe Million Testmuster - damit lässt sich einfach nichts anfangen.

Beweis(ver)fälschung?

Außerdem sind einige der Daten auch etwas merkwürdig. Vor allem der HTTP_ACCEPT-Header, der laut Panopticlick beim Test mit Safari

text/html, */* gzip, deflate de-de

lautet. Der kam mir doch etwas kurz vor. Einmal kurz googlen, da ich gerade keinen passenden Link zur Hand hatte, führte mich zu dieser Seite, die einen plausibleren HTTP_ACCEPT-Header ausgibt:

application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;
   q=0.8,image/png,*/*;q=0.5

Merkwürdig? Es wird noch besser: Mit Firefox (natürlich "unique among the 438,xxx" ) bekomme ich als HTTP_ACCEPT-Header das korrekte

text/html, */* ISO-8859-1,utf-8;q=0.7,*;q=0.7 gzip,deflate de-de,de;
   q=0.8,en-us;q=0.5,en;q=0.3

und mit Camino, einem Mozilla-basierten Browser für den Mac (auch "unique", was sonst?) das ebenfalls korrekte

text/html, */* ISO-8859-1,utf-8;q=0.7,*;q=0.7 gzip,deflate de,en-US;
   q=0.9,en;q=0.8,ja;q=0.7,fr;q=0.6,es;q=0.5,it;q=0.4,pt;q=0.3,pt-PT;
   q=0.2,nl;q=0.1

Wieso wird bei Safari ein falscher HTTP_ACCEPT-Header angezeigt, bei den Mozilla-Browsern aber der richtige? Ich vermute mal, die verwenden JavaScript-Code, der an die "großen Browser" IE und Firefox angepasst ist. Denn noch interessanter ist das Ergebnis, wenn ich iCab verwende, einen alternativen Browser für Mac OS X: Auch da wird mein Browser für "unique among ..." gehalten (was ich diesmal sogar glaube ;-) ) - und angezeigt, das JavaScript ausgeschaltet wäre. Das ist aber ganz eindeutig an.

Sprung in der Platte: Eins, Eins, Eins, ...

Noch eine Merkwürdigkeit gefällig? Laut FAQ müsste das "unique" bei einem Reload verschwinden, wenn kein Cookie erlaubt wurde:

"Q:
Why does your browser remain unique, even if you reload the page?
A:
As noted in the panopticlick privacy policy, the site uses a 3-month persistent cookie to try to prevent double-counting of browsers. Now, you may ask, what about people who block cookies? If you block cookies and hit reload, your browser will be multi-counted in the live data at panopticlick.eff.org, which means that the numbers will be overly optimistic about how non-rare your broswer is.
[...]"

Am "unique" ändert sich auch nichts, wenn ich mir eine andere IP-Adresse besorge. Anscheinend hakt da irgendwas gewaltig.

Einmalig, zweimalig, ... - who cares?

Natürlich kann man Browser an ihren individuellen Einstellungen und Ausstattungen (Plug-ins, Fonts, ...) identifizieren, aber das Verfahren der EFF scheint doch noch etwas unausgereift zu sein. Prinzipiell ist so eine Identifizierbarkeit natürlich schlecht, ich bin mir nur noch nicht ganz sicher, wie schlimm es wirklich ist. Wer wirklich nicht identifiziert werden will, muss schon ein bisschen mehr Aufwand treiben als nur die Cookies im Browser auszuschalten. Und wer Anonymisierungsdienste oder Proxys nutzt, um seine IP-Adresse zu verbergen, wird dann in Zukunft halt auch einen anderen Browser als seinen üblichen nutzen, um nicht darüber identifiziert zu werden, und Plug-ins ein- und ausschalten oder sonstwie dafür sorgen, das sich sein "Browserabdruck" ändert. Außerdem wird es sicher bald entsprechende "Browser-Anonymisierungs-Plug-ins" geben, die dann je nach Belieben eine Standardinstallation eines beliebigen Browsers vorspiegeln. Was bleibt, ist die Identifikation von Benutzern, die Cookies ausgeschaltet haben. Ich schätze mal, den allergrößten Teil davon erwischen die Website-Betreiber sowieso schon über Flash-Cookies, und der Rest wird sich halt irgendwann ein "Browser-Anonymisierungs-Plug-in" installieren.

Handel mit kriminellen Terroristen?

Themenwechsel: Interessant ist auch, was zur Zeit mal wieder in der Politik abgeht. 2008 hatte die Bundesregierung kein Problem damit, eine CD mit den Daten von Steuersündern zu kaufen. Diesmal sind sich die Damen und Herren uneinig, einige sind der Meinung, man dürfe keine Geschäfte mit Kriminellen machen. Stimmt grundsätzlich und theoretisch, praktisch wird immer wieder gegen diesen Grundsatz verstoßen, warum also nicht diesmal? Gleichzeitig möchte die Bundesregierung mit Terroristen Geschäfte machen, wenn die denn ihr bisheriges "Geschäft" aufgeben. Merkwürdig, oder? Mit etwas Geschick kann man das ja evtl. verknüpfen und einfach den Terroristen-Topf für den Kauf der CD anzapfen. Vielleicht sollte der Informant mal überlegen, ob er nicht vielleicht zufällig Taliban ist. Falls es am Bart mangelt, dürfte sich angesichts der Karnevalszeit eine Lösung finden lassen. Auch für den Fall, das es eine Informantin ist.

Was die CD betrifft: Man könnte ja den Informanten dafür bezahlen, dass er die Daten auf einem ausländischen Server speichert, der dann vom BND, BKA, Steuerfahndung oder wem auch immer ganz legal angezapft wird. Oder man fragt den Informanten, wo die Daten im Original zu holen sind. Im Ausland wurden ja schon öfter Rechner online durchsucht.

Videoempfänger statt Babyfon

Recherchen von 'Niedersachsen 19.30' des NDR und den ARD-Tagesthemen haben ergeben, dass analoge Funk-Überwachungskameras, die angezapft werden können, ziemlich weit verbreitet sind. Eigentlich logisch, schließlich sind die billiger als digitale/verschlüsselte Alternativen, und Geiz ist bekanntlich geil. Ich frage mich jetzt nur, wieso das nicht schon viel früher aufgefallen ist. Wahrscheinlich, weil die Kameras noch nicht so verbreitet sind, das man ständig den falschen Sender erwischt, wie es beim Babyfon so häufig passiert. Vermutlich mussten erst die Taliban die unverschlüsselten Videoaufnahmen von US-Dronen belauschen, damit auffällt, das es ja auch anderswo was zu gucken gibt. Wo werden wohl noch überall Daten analog durch die Gegend gefunkt, die nicht für die Allgemeinheit bestimmt sind?

Carsten Eilers