Meeste browsers hebben unieke vingerafdruk
De browser van de meeste consumenten lekt zoveel informatie, dat websites niet eens een IP-adres of cookie nodig hebben om bezoekers uniek te identificeren. Dat blijkt uit onderzoek van de Electronic Frontier Foundation. De digitale burgerrechtenbeweging verzamelde de configuratie en versiegegevens van besturingssystemen, browser en browser plugins van vrijwilligers die de website panopticlick.eff.org bezochten. De gegevens werden vergeleken met de configuraties van een miljoen andere bezoekers.
Daaruit blijkt dat 84% van de configuratie combinaties uniek en identificeerbaar is, waardoor elke browser dus een digitale "vingerafdruk" achterlaat. Browsers met Adobe Flash of Java plugins zijn in 94% van de gevallen uniek te herkennen en te traceren. "We hebben maatregelen genomen om de deelnemers in ons experiment anoniem te maken, maar de meeste websites doen dat niet", zegt Peter Eckersley van de EFF.
Browser
Marketingbedrijven verkopen inmiddels producten die via de browser-vingerafdruk gebruikers kunnen monitoren. Sommige browsers lekken minder unieke informatie, maar over het geheel genomen is het lastig om een browser zo te configureren dat die niet identificeerbaar wordt. "Browser fingerprinting is een krachtige techniek en vingerafdrukken moeten naast cookies en IP-adressen genoemd worden als we het over de privacy van gebruikers hebben", merkt Eckersley op.
Hij hoopt dat browserontwikkelaars zoals Mozilla en Microsoft maatregelen nemen om het probleem in toekomstige versies van hun browser op te lossen. Daarnaast is er ook een rol voor beleidsmakers weggelegd. "Die moeten deze vingerafdrukken als potentieel persoonlijk identificeerbare informatie beschouwen, en een tijdslimiet instellen dat ze met identiteiten en loggegevens geassocieerd mogen worden."
Persoonlijk vind ik dat een veel groter probleem dan het privacy aspect, want zolang er (flash) cookies bestaan hebben websitebeheerders een veel betrouwbaarder methode om users te tracken.
Volgens mij gaat men wel geheel voorbij aan het feit dat de kenmerken van de browser wel reeds bekend moeten zijn voor identificatie.
Indien een persoon ergens een vingerafdruk achterlaat, dan kan je stellen dat deze uniek is. Echter wil dat niet zeggen dat de eigenaar van de vingerafdruk te achterhalen is wanneer de eigenaar nimmer een vingerafdruk heeft afgegeven bij de politie, of bij het aanvragen van een legitimatie.
Hetzelfde geldt voor een browser, waar wil men de unieke fingerprint mee vergelijken om te achterhalen om wiens systeem het gaat indien de unieke fingerprint nog niet bekend is bij de onderzoekers ?
@anoniem: nee kenmerken hoeven niet bekend te zijn. Het gaat er om dat je uniek te identificeren bent _na_ bezoek. Het gaat er helemaal niet om dat jouw naam daaraan hangt, die combinatie is vaak op een andere manier te achterhalen: als je iets koopt in een webwinkel bijvoorbeeld. Daarna is het profiel van je webbrowser bekend, en ben je absoluut niet meer anoniem.
Erger is dat een anonymizing dienst als TOR hierbij ook niet werkt. De handtekening van de browser is erg uniek. Zelfs met privacy mode aan.
EJ
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
