Kreuvfs Allerweltsblog

2011-03-22

Do-Not-Track ist Dreck

Abgelegt unter In eigener Sache,Technologie von Kreuvf um 11:18:07

Datenschutz ist spätestens mit der immer weitreichenderen Verfügbarkeit des Internets zu einem sehr wichtigen Thema geworden. Die meisten Menschen sind sich dessen zwar nicht bewusst, aber beim Surfen durch das Internet ist es mit den Standardeinstellungen der meisten Browser für Webseitenbetreiber ein Leichtes die Leute quer durchs Internet zu verfolgen. Das Paradebeispiel dafür stellt das von der Electronic Frontier Foundation ins Leben gerufene Projekt Panopticlick (Englisch) dar.

Identifikation durch die Browserkennung

Aber wie können die einen identifizieren? Jedes Mal, wenn man mit dem Browser eine Internetseite aufruft, werden schon standardmäßig und ohne, dass die Seite überhaupt geladen wurde, zahlreiche Informationen übertragen. Der Browser fragt dabei einen Server nach einer bestimmten Seite und schickt dabei tonnenweise identifizierende Informationen mit. Bei mir werden aktuell unter anderem die folgenden Informationen automatisch übertragen, nur damit die Seite weiß, welchen Browser ich habe:
Mozilla/5.0 (X11; U; Linux i686; de; rv:1.9.2.15) Gecko/20110303 Ubuntu/10.10 (maverick) Firefox/3.6.15

Nutzung der Daten durch Tracking-Dienste

Das sind laut Panopticlick bereits 15,25 Bits identifizierender Information. Einer von knapp 39.000 Browsern hat diese Kennung. Was heißt das? Das heißt, dass Tracking-Dienste — das sind zumeist kommerzielle Angebote, die sich auf die Nutzerverfolgung im Internet und damit auch deren Identifizierung spezialisiert haben — aus ihrer Datenbank schon über 99,997% aller Nutzer per se ausschließen können, weil deren Browser nicht diese Kennung hat. Umgekehrt heißt dies, dass man sich selbst in den verbliebenen weniger als 0,003% der Nutzer wiederfindet. Das heißt, dass die mich allein nur aus den paar Informationen schon auf einen sehr kleinen Nutzerkreis einschränken können. Noch ein bisschen mehr Information und ich bin eindeutig identifizierbar! Und all das ohne auch nur eine E-Mail-Adresse, meinen Namen, Spitznamen oder Geburtsdatum irgendwo eingegeben zu haben!

Und so geht das noch weiter. Akzeptiere ich Cookies und ist JavaScript in vollem Umfang aktiviert, dann komme ich zum erschreckenden Ergebnis, dass ich in der Panopticlick-Datenbank mit knapp 1,5 Millionen Einträgen eindeutig identifizierbar bin!

Do-Not-Track als „Lösung“

Das ist natürlich genug Leuten bekannt und die haben sich da was ausgedacht: Wir verschicken noch mehr Informationen an die Server! m(

Wie soll das funktionieren? Wenn man nicht quer durch das Internet von den bösen Tracking-Diensten verfolgt werden will, muss man laut deren Idee einfach nur ein „Do-Not-Track“ (verfolge mich nicht) mitschicken und dann hören die Tracking-Dienste auch auf damit. Das funktioniert ja auch in der Wirklichkeit immer hervorragend, wenn man dem Messerstecher oder dem Vergewaltiger sagt, dass der das doch bitte lassen soll. Deswegen werden solche Delikte ja schon seit Jahren nicht mehr in der Kriminalstatistik aufgeführt…

Es ist in Worten kaum auszudrücken wie hirnrissig diese Scheißidee ist! Erstens werden Tracking-Dienste diese zusätzliche Information nutzen können, um verschiedene Nutzer zu identifizieren. Auch wenn das nur ein Bit ist. Dies kann den Unterschied machen zwischen einem Nutzerkreis aus 10 Nutzern und 1 Nutzer!

Das Argument „Aber das dürfen die doch dann gar nicht, wenn es dann auch entsprechende Gesetze gibt! Das ist dann doch verboten! D:“ ist ungültig. Verbote halten niemanden davon ab etwas zu tun. Wäre das so, hätten wir keine Morde, Körperverletzungen, Erpressungen, Vergewaltigungen und keine Korruption mehr. Und genau so wird es auch bei den Tracking-Diensten laufen. Die freuen sich doch wie blöde, wenn sie da noch mehr identifizierende Information frei Haus geliefert bekommen und nicht mal JavaScript und Cookies bemühen muss, um daran zu kommen, ja der Browser das sogar freiwillig und unaufgefordert sendet! Klar, die ehrlichen Tracking-Dienste werden sich wahrscheinlich daran halten, aber das wird über kurz oder lang zu einem Wettbewerbsnachteil führen, da andere die Nutzer besser identifizieren können. Dem könnte man zwar wieder mit einem Gesetz entgegenwirken, das dafür sorgt, dass auch diejenigen bestraft werden, die Dienste nutzen, die gegen das Gesetz verstoßen, aber auch das wird dem einzelnen Nutzer im Zweifelsfall, also: immer, nur ein leeres Versprechen sein.

Und falls da draußen noch wer an die heile Welt glaubt, für den zitiere ich donottrack.us, die Seite zu Do-Not-Track:

No advertising network or other tracking service has yet announced plans to honor the Do Not Track header. From a technical perspective, recognizing the Do Not Track header is easy; we have listed several implementations on the right.

Deutsche Übersetzung von mir:

Bislang hat noch kein Werbenetzwerk oder anderer Tracking-Dienst Pläne angekündigt den Do-Not-Track-Header zu beachten. Von einem technischen Standpunkt her ist es einfach den Do-Not-Track-Header zu erkennen; wir haben mehrere Implementationen auf der rechten Seite aufgelistet.

Es wundert mich an dieser Stelle ja, dass keiner der Beteiligten den nötigen Blick für die Realität zu haben scheint, um einzusehen, dass Do-Not-Track der falsche Weg ist.

Ein weiteres Zitat aus einer auf donottrack.us verlinkten PDF:

IV. Do Not Track is verifiable.
We envision two technical approaches to verifying Do Not Track compliance. First, most tracking at the application layer20 can be detected by modifying a browser to report tracking-related activity.21 If after receiving a Do Not Track header third-party embedded content sets a unique cookie or lists the browser’s plug-ins, the third party may be violating Do Not Track. Second, behavioral advertising can be identified by monitoring ads for interest targeting.22

Deutsche Übersetzung von mir, Link zu Wikipedia von mir:

IV: Do Not Track ist überprüfbar
Wir stellen uns zwei technische Wege vor die Befolgung von Do Not Track zu prüfen. Erstens kann ein Großteil der Verfolgung auf der Anwendungsschicht20 durch Veränderungen am Browser festgestellt werden, die darauf abzielen mit der Verfolgung in Zusammenhang stehende Vorgänge zu melden.21 Wenn eingebettete Inhalte Dritter nach dem Empfang des Do-Not-Track-Headers ein unique Cookie setzen oder die Browserplugins auflisten, dann könnte es sein, dass dieser Dritte Do Not Track verletzt. Zweitens kann behavioral advertising entdeckt werden, indem Werbung daraufhin überwacht wird, ob gezielt Interessen bedient werden.22

Der erste Ansatz, um zu bestätigen, dass Do-Not-Track befolgt wird, beinhaltet die Veränderung des Browsers so, dass der Aktivitäten, die mit der Verfolgung in Zusammenhang stehen, meldet. Das gilt grundsätzlich aber nur für Dinge, die eine geladene Internetseite tut. Wenn diese zum Beispiel einen dieser rottigen Facebook-Gefällt-mir-Knöpfe einbindet, wird Müll von Facebook nachgeladen. Aber Facebook hat dann sowieso schon unsere Browserkennung etc. erhalten und kann damit genug anfangen, denn durch die Einbindung des Facebookdrecks auf der Seite wird der Browser ohne Zutun des Nutzers automatisch angewiesen diesen Kram auch zu laden. Anders gesagt: dieser Ansatz verfehlt sein Ziel, da die identifizierenden Informationen zu diesem Zeitpunkt schon gesendet sind und man höchstens feststellen kann, ob die Seite versucht weitere Informationen zu holen. Der zweite Ansatz ist noch absurder: man solle sich doch bitte anschauen, ob die eingeblendete Werbung den persönlichen Interessen entspricht und, sollte das der Fall sein, muss man wohl identifiziert worden sein. Das heißt nichts weiter, als dass hier das Kind bereits in den Brunnen gefallen ist. Und zusätzlich dazu soll ich mir diesen Werbemüll reinziehen.

Gegenvorschlag

Tracking-Dienste sollten standardmäßig annehmen, dass niemand quer durch’s Internet verfolgt werden will. Die, die das wollen, können dann ja ein „Do-Track“ mitsenden, der Rest vom Internet sollte von diesem Abschaum aber verschont bleiben. Anders ausgedrückt: Die Lösung lautet Do-Not-Track nicht einzusetzen. Viel eher sollten alle Browserhersteller und auch Hersteller von Browserplugins etc. sehr stark darauf achten, dass nur eine minimal nötige Menge Informationen standardmäßig an Server gesendet wird. Den Tracking-Diensten müssen von Browserseite her schon möglichst viele Steine in den Weg gelegt werden den Nutzer zu identifizieren.

Fazit

Die bereits vorhandenen Möglichkeiten zur Nutzerverfolgung im Internet sind bereits gravierend genug. Da brauchen wir den Tracking-Diensten nicht noch mehr Möglichkeiten zur Verfügung stellen. Interessanterweise steht das auch in der englischen PDF der EFF zum Thema „How unique is your browser?“:

The Paradox of Fingerprintable Privacy Enhancing Technologies
Sometimes, technologies intended to enhance user privacy turn out to make fingerprinting easier. Extreme examples include many forms of User Agent spoofing (see note 3) and Flash blocking browser extensions, as discussed in Section 3.1. The paradox, essentially, is that many kinds of measures to make a device harder to fingerprint are themselves distinctive unless a lot of other people also take them.

Deutsche Übersetzung von mir:

Das Paradoxon der zur Identifikation nutzbaren Datenschutztechnologien
Manchmal zeigt es sich, dass Technologien, die eigentlich dazu gedacht waren die Privatsphäre des Nutzers besser zu schützen, die Identifikation erleichtern. Extreme Beispiele sind viele Formen der Veränderung der Browserkennung (siehe Anmerkung 3) und Browsererweiterungen zum Blockieren von Flash wie in Abschnitt 3.1 beschrieben. Das Paradoxon, im Kern, lautet, dass viele Maßnahmen, die die Geräteidentifikation erschweren sollen, letztendlich selbst Unterscheidungsmerkmal sind, sofern nicht selbst viele andere Leute diese Maßnahmen auch einsetzen.

Es stehen noch weitere interessante Methoden zur Verringerung der Informationsmenge in dieser PDF, daher geht dafür eine ausdrückliche Leseempfehlung an alle raus. Und ich bleibe dabei: Do-Not-Track ist Dreck. Es ist gefährlich, kontraproduktiv, zusätzliche Datenlast, die durch’s Internet geschickt wird, und hat für sich genommen absolut gar keinen Einfluss darauf, ob wir nun verfolgt werden oder nicht. Zusätzlich dazu gibt es dem Durchschnittsnutzer, der das entdeckt und nur eine Kurzbeschreibung dazu im Browser liest, ein falsches Gefühl von Sicherheit. Das Übel muss an der Wurzel gepackt werden und das geht nur, indem man von Vornherein verhindert, dass man überhaupt derart einfach verfolgt werden kann.