BitBox: Der sicherste Windows-Browser der Welt!

Instrumente, Verstärker, Computer, Smartphones...
Benutzeravatar
Nukkumatti
Beiträge: 3956
Registriert: 26 Jul 2006, 06:24
Kontaktdaten:

Beitrag von Nukkumatti » 22 Jul 2014, 18:46

weil ic hgerade auf der EFF seite den Artikel gefunden habe:
Lt. dieser Studie sind Tor sowie noscript gute Möglichkeiten, fingerprinting (und somit identifizierung bei ausgeschalteten cookies und LSO's) zu reduzieren:

https://panopticlick.eff.org/browser-uniqueness.pdf
(siehe Seite 14)

im übrigen: unter
https://panopticlick.eff.org
kann man auch testen, wie auffällig der fingerprint des eigenen browsers ist.


wobei gerade TOR zu helfen scheint; nur mal so im vergleich: wenn ich bei meinem standard browser ohne TOR den test mache, ist der browser "one in 616,328", wenn ich über TOR gehe, nur mehr "one in 148,780"

Benutzeravatar
Eiserner Knut
Beiträge: 23252
Registriert: 14 Okt 2007, 00:16
Wohnort: Wienerberg

Beitrag von Eiserner Knut » 22 Jul 2014, 22:00

Nukkumatti hat geschrieben: wobei gerade TOR zu helfen scheint; nur mal so im vergleich: wenn ich bei meinem standard browser ohne TOR den test mache, ist der browser "one in 616,328", wenn ich über TOR gehe, nur mehr "one in 148,780"
Hmmm, da scheinst Du was miss zu verstehen! "One in" würde ich als "einer von" interpretieren. Je höher der Wert desto besser is er dann!?

Mein Opera Mini Browser hat z. B. ein one in von 4319988, und der ist wahrlich rar.
--> Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher <--> Albert Einstein

Benutzeravatar
Nukkumatti
Beiträge: 3956
Registriert: 26 Jul 2006, 06:24
Kontaktdaten:

Beitrag von Nukkumatti » 22 Jul 2014, 22:20

knut, es geht eben genau darum nicht einen unique fingerprint zu haben, sondern anonymer zu browsen.

nachdem viele internetbenutzer zusehends vorsichtiger mit dem akzeptieren von cookies sind, werden andere wege gesucht, um einen client einen user zuzuordnen. eine möglichkeit stellt der fingerprint dar. desto mehr unique er ist, desto genauer kann er einem user/client zueordnet werden.

es geht also darum in der masser unterzugehen (mit nicht klar zuordenbaren einstellungen), und nicht herauszustechen.


edit:
im übrigen gabs heut auch im standard einen artikel zum thema "canvas fingerprinting"
http://derstandard.at/2000003401227/Imm ... er-Cookies

Benutzeravatar
Eiserner Knut
Beiträge: 23252
Registriert: 14 Okt 2007, 00:16
Wohnort: Wienerberg

Beitrag von Eiserner Knut » 22 Jul 2014, 23:41

Im Prinzip ists mir egal, erstens hab ich keinerlei Geheimnisse, und nichts zu verbergen, und zweitens speichere ich keine lägere Internetsitzung ab. Und falls ich neue Einstellungen setzen und abspeichern möchte, so mache ich das ganz am Anfang einer Sitzung, und nur dann, wenn ich mir vertraute Seiten angesurft habe. Evercookies landen ggF. im RAM, und sind nach dem Heruntefahren 100%ig weg.

Mein E61 ist ein Smartphone, und da funktioniert es lt. dem Standartbericht anscheinend nicht so ganz :D
--> Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher <--> Albert Einstein

Benutzeravatar
Nukkumatti
Beiträge: 3956
Registriert: 26 Jul 2006, 06:24
Kontaktdaten:

Beitrag von Nukkumatti » 22 Jul 2014, 23:56

verstehe nicht ganz was du meinst.
mittel fingerprinting ist es relativ egal was du an einstellungen oder daten speicherst. erkannt wird dein browser- und OS setup und (z.b. schriftarten, installierte plugins, OS, browser version, etc. etc.)

der standardartikel ist dann noch mal ein bisschen was anderes; hier wird mittels html 5 ein canvas von deinem browserfenster gezeichnet, das ebenso ziemlich unique auf deine software/hardwarekofiguration schließen lässt und daher einen fingerabdruck bieten kann (siehe z.b. https://www.browserleaks.com/canvas). da würde im prinzip nicht mal eine sandbox helfen (soweit ich das verstehe), außer man richtet z.b. die VM jedes mal anders ein (was wohl ein absurder aufwand wäre).

++
edit: hab gerade gemerkt, dass z.b. bei dem hier geposteten link mein OS und meine browserversion erkannt werden, obwohl die metadaten ein anderes system vortäuschen würden. ziemlich raffiniert das ganze!
++

jedenfalls interessant was sich die industrie alles einfallen lässt um die nutzer zu tracken und auslesen zu können.


++
edit 2
hier noch ein interessanter artikel zum canvas fingerprinting
http://cseweb.ucsd.edu/~hovav/dist/canvas.pdf
++

Benutzeravatar
Eiserner Knut
Beiträge: 23252
Registriert: 14 Okt 2007, 00:16
Wohnort: Wienerberg

Beitrag von Eiserner Knut » 23 Jul 2014, 01:25

Ich verstehe was Du meinst, aber ich denke da eher umgekehrt... und zwar, je seltener meine OS/Browserkonfiguration ist, desto weniger bin ich "angreifbar"!
Wenn ich ins Internet gehe rechne ich sowieso damit, dass jeder meiner Schritte (Klicks) aufgezeichnet, und nachverfolgt werden könnte... ja und, und weiter?

Wenn ich nackt am FKK-Strand liege reche ich ebenfalls damit, dass ich von einem oder mehreren Spannern beobachtet werden könnte. Deswegen werde ich meine Gesicht (ID) bestimmt nicht in einen Schleier einwickeln - schließlich weiß er nicht wo ich wohne. Genau ists mit dem Internet, ich gehe rein, besuche dies und jenes. Wenns jemand Spaß macht so kann er mich gerne dabei begleiten - hab schliessl. nix zu verbergen, und mir ist auch bisher nix unangenehm aufgefallen.
--> Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher <--> Albert Einstein

Benutzeravatar
Eiserner Knut
Beiträge: 23252
Registriert: 14 Okt 2007, 00:16
Wohnort: Wienerberg

Beitrag von Eiserner Knut » 23 Jul 2014, 08:01

Btw., der ultimative big brother ist sowieso Google. Was ich da schon bei NoScript an einem oder mehreren Einträge gesehen habe - mein lieber Scholli ^^ Kaum eine Website kommt ohne Googe-Tracking.
--> Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher <--> Albert Einstein

Benutzeravatar
Nukkumatti
Beiträge: 3956
Registriert: 26 Jul 2006, 06:24
Kontaktdaten:

Beitrag von Nukkumatti » 23 Jul 2014, 14:57

Ich habe das Gefühl, dass hier verschiedene Dinge vermischt werden.
Das Tracking wie durch Cookies und Evercookies dient weniger der staatlichen Überwachung, als vielmehr der (Werbe-)Industrie. Mit Evercookies soll es z.b. möglich gemacht werden, Cookies wiederherzustellen, wenn die Nutzer Cookies gelöscht haben, bzw. Cookies zu ersetzen, wenn Nutzer keine Cookies akzeptieren. Das halte ich deshalb für eine Frechheit, weil es die Entscheidung der Nutzer und Konsumenten untergräbt und ihr Willen negiert und umgangen wird.
Tracking kann aber durchaus auch zu Überwachungszwecken eingesetzt werden. In diesem Falle spielt dann Anonymität und Einzigartigkeit/Uniqueness noch eine weitere Rolle: Desto mehr Auskunft dein Browser über Einstellungen verrät, also desto einzigartiger er ist, desto leichter ist es Schadcode einzuschleusen, da potentielle Angreifer einen guten Überblick über dein Setup bekommen und dadurch leichter Schwachstellen ausfindig machen können (z.b. über die Version oder das Vorhandensein kompromittierbarer Plug-Ins etc.).

Aber da hast du Recht, viele Nutzer müssen gar nicht erst großartig ausgelauscht werden, sie geben freiwillig ihre ganzen Daten preis, wie durch die Benutzung von vielen sozialen Online-Netzwerken oder durch Services wie die von Google (verstehe auch nicht was allen daran taugt). Damit schaffen sie für die Industrie und Forscher tolle Datensätze, die sich zur Optimierung von Manipulationsprozessen einsetzen lassen, wie etwa neurologische Untersuchungen, wie man Werbebotschaften am besten und effizientesten im Hirn hinterlassen kann.

Was du über Überwachung gesagt hast, finde ich interessant: Das du nichts zu verbergen hast. Darauf würde ich gerne kurz näher eingehen, auch wenn es etwas off-topic ist. Ich denke die wenigsten haben etwas zu verbergen, aber um das geht es ja auch gar nicht. Bei massenhaftem Ausspionieren werden meistens riesige Datenmengen gesammelt, mit denen man zu Beginn oft gar nichts anzufangen weiß. Die Live-Überwachung solch riesiger Datenmengen ist nicht zu bewerkstelligen, weshalb Massenüberwachung (wie etwa CCTV) nicht zur Verhinderung oder Reduktion von Straftaten geführt hat. Deshalb muss man dann meistens im Nachhinein neue Anwendungsgebiete suchen, um die immensen Investitionen aus dem Steuertopf rechtfertigen zu können. In GB ist man z.b. den Weg gegangen, die riesigen Datenmengen auszuwerten, und durch Algorithmen berechnete Muster von Normalität zu erstellen. Die Systeme erkennen dann Abweichung von Normalität, was dann Alarm schlägt; Abweichung der Norm schafft somit bereits einen Verdachtsfall! Das hat dann perverserweise dazu geführt, dass Leute die auf der Straße stehengeblieben sind, oder eine U-Bahn vorbeifahren haben lassen, verhaftet wurden, weil das System sie als verdächtig gemeldet hat. Ähnliches ist auch bei der Online-Überwachung zu erwarten. Es gab ja auch bereits Stimmen in der Sicherheitspolitik die meinten, wenn jemand keinen Facebook Account hat, macht er sich verdächtig, weil er ja offensichtlich was zu verbergen hat, wenn er nicht wie alle anderen auch einen FB Account hat. Außerdem untergräbt es jegliche Form von Individualismus, weil die Bürger somit zu einer Norm gezwungen werden, wollen sie nicht ständig Probleme mit dem Sicherheitsapparat bekommen. Eine traurige Entwicklung, da gerade die Individualität ja das schöne an der Gesellschaft ausmacht; eine Gesellschaft mit lauter gleichgeschalteten Zombies wäre wirklich uninteressant - und vielmehr noch, gefährlich für die gesellschaftliche Entwicklung. Ohne Pluralität läuft man Gefahr in einer Sackgasse zu enden.
Jedenfalls kann es auch ein konkretes Problem werden, wenn man von einem computergenerierten System zu einem Verdachtsfall gestempelt wird. Dann kann es nämlich wirklich passieren, dass man total überwacht wird (auch physisch, nicht nur virtuell), ohne etwas angestellt zu haben oder etwas zu verbergen zu haben – wie du es nennst. Eines der Probleme ist nämlich auch, dass solche Systeme dazu neigen, „false-positives“ zu generieren. Selbst wenn Systembetreiber beteuern, dass die Rate der false-positives niedrig wäre, bedeutet das für die Betroffenen das Ende ihrer Freiheit. Wenn man komplett ausspioniert wird, und keine Privatsphäre mehr hat. Das kann auch zu Einschränkungen der Reisefreiheit führen, oder dass man in der Öffentlichkeit gebrandmarkt ist, ohne dass man sich jemals was zu Schulden kommen hat lassen.
Was mich auch beklemmt bei dem ganzen Überwachungswahn und großflächiger Datenspeicherung ist der Umstand, dass man nicht weiß was in Zukunft mit den Daten passiert, oder wie sich die politische Landschaft verändert. Für mich ein bedrückendes Beispiel stammt aus der ersten Hälfte des letzten Jahrhunderts: Anfang des 20. Jahrhunderts wurde, noch in der Monarchie, beim Zensus, also der Volkszählung, ein Feld für religiöse Zugehörigkeit eingeführt. Dürfte damals keinen interessiert haben, war halt irgendwas für Statistik. Rund 30 Jahre später gab es eine andere politische Führung mit anderen Interessen. Die haben sich über diese Daten sehr gefreut, und hatten leichtes Spiel Juden zu identifizieren und massenweise zu ermorden. Aber das ist eine reale Gefahr des Datenspeicherns. Ich könnte mir z.b. vorstellen, dass in 20 Jahren eine Regierung – mangels Budget sagen könnte, wer länger als 10 Jahre geraucht hat, muss bei Lungenkrankheiten selber für medizinische Versorgung auskommen. Also nur als ein fiktives Beispiel. Natürlich werden aber auch politische oder sexuelle Orientierung erfasst, was ebenso in Zukunft vielleicht für Betroffene zu einem Problem werden könnte.
Davon mal abgesehen, hat man uns ja mit der Vorratsdatenspeicherung auch komplett belogen. In Österreich etwa, wo ebenfalls mit Terrorabwehr argumentiert wurde, wurde die VDS zur Bekämpfung von Kleinkriminalität eingesetzt. So hat sich, nachdem sich der VGH dem Spruch des EuGH angeschlossen hat, nämlich dass die VDS unverhältnismäßig – und somit verfassungswidrig ist, herausgestellt, dass der BVT gar kann keinen Zugriff auf die VDS hatte, sondern nur die Kripo! Überhaupt ist es eine Frechheit, dass alle Bürger unter Generalverdacht gestellt werden. Das grenzt schon an Beweislastumkehr, vor allem wenn man sieht, wie bei Personenüberwachung Verdachtsfälle konstruiert werden, um die eingesetzten finanziellen Mittel rechtzufertigen. Beispiel: Tierschützerprozess.
Aber abgesehen davon dass Totalüberwachung einen absolut unverhältnismäßigen Angriff auf die Freiheit der Bürger darstellt, ist sie in meinen Augen auch eine Unterwanderung des Privatlebens und der Intimsphäre. Ich stelle für mich öfter Gedankenexperimente an was digitale Überwachung anbelangt, und frage mich, wie ich mich fühlen würde, wenn solche Angriffe auf mein reales Leben statt finden. Die digitale Welt, vermutlich weil sie noch so neu ist in der menschlichen Geschichte, wird ja oft noch als etwas entferntes, virtuelles wahrgenommen; sie ist aber inzwischen zu unserer Realität geworden. Ich denke mir etwa, wenn ich einen Brief an einen Freund schicke, wo ich viele persönliche Informationen drinnen habe, etwa emotionales oder sehr intimes – ich würde so einen Brief in einem Kuvert verschicken, weil ich nicht wollte, dass jeder Postler der den Brief unterwegs in die Hände bekommt, einen Einblick in mein Privatleben bekommt. Komischerweise wird dieses Denken digital oft nicht widergespiegelt, und E-Mails werden einfach so verschickt (also ohne end-to-end Verschlüsselung), so dass jeder beim Provider oder Host mitlesen kann (und tut – speziell bei Google etwa weiß man ja, dass die Emails mitlesen). Ich würde auch nicht wollen, wenn ich in die Arbeit gehe, dass Leute durch meine Wohnung steigen und schaun, was ich alles in meine Kästen habe, wie z.b. Sexpielzeug. Das ist mein Privatleben, und geht niemanden was an. Komischerweise gibt es dieses Bewusstsein oder Gefühl in der digitalen Welt häufig nicht oder ist es dort kaum ausgeprägt, und es wird toleriert dass unzählige Stellen/Institutionen/Personen Zugriff auf das Privatleben der Nutzer bekommen. Als ein Bsp. frage ich mich, wozu muss Skype in meine Browser-Ordner hineinschaun? Das hat Null mit der Funktionalität des Programms zu tun und Skype hat dort auch nichts verloren.

Also zusammenfassend, ich finde Überwachung nicht nur Bedenklich im Sinne dessen, dass damit sämtliche (auch unbescholtene) Bürger unter Generalverdacht gestellt werden, sondern es kann auch unbescholtene schnell treffen und eklatante Eingriffe und Einschränkungen im realen Leben auslösen. Wofür die Daten in der Zukunft verwendet werden, weiß niemand. Und letztlich sehe ich nicht ein, warum wir unsere Privat- und Intimsphäre aufgeben müssen. Deswegen ist es für mich persönlich irrelevant ob ich was zu verbergen habe oder nicht. Ich will nicht überwacht werden, sondern in Freiheit leben können!

Im übrigen: Hier noch eine interessante Ausgabe des Weltjournals vom letzten Jahr; vor allem der Fall Andrej Holm (gegen Ende des Berichts) ist sehr interessant, wie schnell man unschuldig Ziel von Totalüberwachung werden kann und welchen Eingriff das ins Leben bedeutet:


___________________________________
edit: Eigentlich wurde vieles von dem was ich hier (bzgl. Überwachung) geschrieben habe, schon in diesem Thread diskutiert: viewtopic.php?f=4&t=582&hilit=%C3%BCberwachung - wo auch eventuelle weitere Diskussionen hingehören würden.
Somit können wir uns hier im Thread wieder um Browserthematik bemühen :-)

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast