Camp Firefox

Die Firefox-Community

Firefox 58 erhält Schutz gegen Canvas-Fingerprinting

Firefox 58 wird der erste große Browser sein, welcher eine Schutz-Maßnahme gegen sogenanntes Canvas-Fingerprinting implementiert hat. Während dies auf der einen Seite eine großartige Nachricht für Freunde der Privatsphäre ist, gibt es dabei aber auch Dinge zu beachten, auf welche andere Webseiten, die darüber berichten, leider nicht eingehen.

Am 14. November wird Mozilla mit Firefox 57 den größten und wichtigsten Release in der Geschichte von Firefox veröffentlichen. Doch die Entwicklung wichtiger Verbesserungen hört damit nicht auf, auch danach können sich Firefox-Nutzer auf aufgregende Neuerungen freuen. Eine dieser Neuerungen wird zu einer weiteren Verbesserung des Privatsphäre-Schutzes beitragen, nämlich eine Maßnahme gegen Canvas-Fingerprinting.

Was ist Canvas und Canvas-Fingerprinting?

Canvas steht zunächst einmal in überhaupt keinem negativen Kontext, sondern ist ein überaus praktischer Teil des HTML-Standards. Die MDN web docs beschreiben Canvas wie folgt:

<canvas> ist ein HTML Element, auf das man mit Hilfe von Skripten (normalerweise JavaScript) Animationen, Grafiken oder Bilder projiziert.

Daraus ergeben sich viele praktische Anwendungsfälle für Webseiten. Doch wie so oft werden Dinge, welche viele positive Dinge ermöglichen, auch gerne für Sachen missbraucht, die weniger toll sind. Dies trifft auch auf das Canvas-Element zu. Durch Unterschiede im Rendering in Abhängigkeit von Variablen wie Betriebssystem, Browser, installierten Schriftarten und mehr lässt sich ein digitaler Fingerabdruck erzeugen, welcher dazu genutzt werden kann, Nutzer über mehrere Besuche hinweg wiederzuerkennen, auch Tracking genannt.

Firefox 58 erhält Schutz gegen Canvas-Fingerprinting

Mozilla hat in Firefox 58 ein Feature implementiert, welches den Schutz vor Canvas-Fingerprinting verbessern soll. Dies funktioniert, indem Firefox beim Benutzer explizit um Erlaubnis fragt, wenn eine Webseite versucht, Canvas-Daten zu extrahieren. Andere große Browser wie Google Chrome besitzen so etwas nicht.

Firefox 58 Canvas-Schutz

Dabei handelt es sich um ein Feature, welches ursprünglich aus dem Tor-Browser stammt, einem auf Firefox ESR basierenden Browser. Seit Monaten implementiert Mozilla zahlreiche Erweiterungen des Tor-Browsers direkt in Firefox, was einerseits die Entwicklung des Tor-Browsers vereinfacht, andererseits aber auch Firefox-Nutzern die Möglichkeit gibt, die Privatsphäre zu verbessern.

Lese-Tipp: Mozilla verdoppelt Spenden für das Tor-Projekt

Standardmäßig ist dieser neue Schutz in Firefox 58 deaktiviert. Zur Aktivierung muss über about:config der Schalter privacy.resistFingerprinting per Doppelklick auf true geschaltet werden.

Vorsicht, nicht blind aktivieren!

Über dieses neue Feature von Firefox 58 haben bereits einige Webseiten berichtet, doch die meisten verschweigen dabei wichtige Informationen, die der Nutzer haben muss, um eine Entscheidung begründet treffen zu können!

In jedem Fall muss erwähnt werden, dass an der Option privacy.resistFingerprinting deutlich mehr dran hängt als nur der Schutz vor Canvas-Fingerprinting. Es handelt sich dabei um eine Sammel-Einstellung für zahlreiche Optionen, welche aus dem Tor-Browser direkt in Firefox portiert worden sind und noch portiert werden. Und dabei ist es absolut nicht so einfach, dass man sagen kann, eine Aktivierung verbessert die Privatsphäre und daher unbedingt erfolgen.

Zwar ist es richtig, dass die Einstellung die Privatsphäre verbessert, es ist aber auch wichtig, sich über die Funktionweise und Konsequenzen im Klaren zu sein. Die Verbesserung der Privatsphäre erfolgt durch eine Minimierung des digitalen Fingerabdrucks, was wiederum durch die Verfälschung von Informationen geschieht. Beispielsweise wird Webseiten vorgelogen, dass sich der Anwender, ganz egal, in welcher Zeitzone er sich befindet, in der UTC-Zeitzone befindet, was zu naheliegenden Problemen bei Kalender-Applikationen führt. Weiter wird Webseiten vorgegaukelt, man würde Firefox 52 nutzen. Dass das ein Problem sein kann, sieht man auf Mozillas eigener Erweiterungs-Webseite addons.mozilla.org: einige WebExtensions können nicht installiert werden, weil auch Mozillas Webseite denkt, es würde Firefox 52 genutzt werden, und damit ist nicht jede WebExtesion kompatibel. Und dies waren nur zwei Beispiele. Es gibt noch einige Dinge mehr, welche Webseiten bei Aktivierung dieser Option vorgelogen werden, obwohl sie nicht stimmen, was den digitalen Fingerabdruck zwar reduziert, aber eben auch direkte Auswirkung auf die Funktionsweise von Webseiten hat.

Canvas-Warnung bedeutet nicht gleich Tracking

Ebenfalls ist es wichtig zu verstehen, dass das Erscheinen der Canvas-Warnung bei Aktivierung des neuen Schutzes nicht gleichbedeutend damit ist, dass die jeweilige Webseite Tracking betreibt oder etwas anderes machen würde, was nicht im Sinne des Nutzers ist. Wie bereits erwähnt, gibt es vollkommen legitime und sinnvolle Anwendungsfälle für die Verwendung des Canvas-Elements. Die Warnung gibt dem Nutzer lediglich die Möglichkeit, eine Entscheidung darüber zu treffen, ob er der Webseite die Extraktion von Canvas-Daten erlaubt oder nicht, Firefox kann aber nicht über den Zweck informieren. Der Canvas-Schutz sollte also nur als Hilfsmittel erachtet werden, nicht zur Beurteilung, ob eine Seite Canvas zum Tracking-Zweck einsetzt.

Der Beitrag Firefox 58 erhält Schutz gegen Canvas-Fingerprinting erschien zuerst auf soeren-hentzschel.at.