Hallo an alle,
ich bin kürzlich vor diesem Artikel gestolpert: https://www.brside.com/blog/brave-firefox-safari-only-two-survived-this-fingerprinting-test
Ich denke dieser lädt zur Diskussion ein, da derzeit (zumindest nach meinem Empfinden) Brave ja regelmäßig als guten Allrounder-Browser mit guten Fingerprinting-Schutz beworben wird (allgemein im Web, nicht nur hier bezogen). Daher möchte ich den Inhalt der Fallstudie einmal in verkürzter Form wiedergeben:
Die Vorgehensweise:
Kann (fast) jeder selbst nachmachen im Grunde. Man nimmt alle drei Browser und stellt die Schutzfunktion entsprechend ein (Firefox mit ETP Strict, Brave mit aktivierten Fingerprinting-Schutz und Safari mit „erweiterten Tracking- und Identifizierungsschutz“ + alle drei mit dem Löschen aller Website-Daten beim Beenden). Dann nimmt man noch den VPN-Anbieter seines Vertrauens und geht dann jeweils auf fingerprint.com.
Schreibt euch jeweils die generierte Besucher-ID irgendwo auf und schließt alle Browser wieder. Wechselt eure IP-Adresse über den VPN-Anbieter und geht erneut auf fingerprint.com. Folgendes sollte euch auffallen: Während Firefox und Safari eine neue Besucher-ID bekommen wird Brave wieder erkannt und behält seine Besucher-ID.
„Aber auf CoverYourTracks wird Brave mit einem „Randomized Fingerprint“ bewertet!“
Der Verfasser des Artikels argumentieren so: CoverYourTracks (bzw. BrowserLeaks) und fingerprint.com sind zwei komplett unterschiedliche Dinge. Keine Firma, welche seine Nutzer tracken möchte, „benutzt“ das Fingerprinting über CoverYourTracks, AmIUnique oder ähnliches. Man setzt auf kommerzielle Tools wie die von fingerprint.com, welche auch (nach deren Aussage) von tausenden Firmen eingesetzt werden. Damit ist fingerprint.com viel realitätsnäher, weil sie eben die Tools verkaufen für das Tracken von Nutzern und eben diese Live-Demo anbieten.
„Wie können Firefox und Safari besser sein als Brave?“
Während Firefox und Safari auf Generalisierung und Randomisierung setzen fokussiert sich Brave wohl hauptsächlich nur auf Randomisierung über deren sogenanntes „Farbling“. Ein wichtiger Wert hierbei ist der WebGL-Vendor - also der Wert welche die Grafikkarte eures Systems für grafikintensive Aufgaben bekannt gibt. Bei Safari und Firefox kommt es fundamental zur Generalisierung dieses Wertes. Safari z.B. gibt nur „Apple GPU“ während Firefox „Apple M1, or similar“ ausgibt. Brave auf der anderen Seite wird dabei sehr genau mit „Apple M1 Pro“ oder „Nvidia RTX 3080“ oder [hier eure Grafikkarte einfügen]. Und da man Grafikkarten jetzt nicht so einfach austauschen kann wie Socken z.B. haben Firmen schon mal einen Wert um euch regelmäßig wiederzuerkennen.
„Was sagt Brave dazu?“
Das Ganze ist nichts neues und wurde schon in der Vergangenheit angemerkt. Deren Reaktion:
„This approach creates an impressive-looking demo but is less effective for real-world scenarios where users visit sites over multiple days… We also suspect that the demo prioritizes generating ‚consistent‘ fingerprints over accuracy. This means many users could be assigned the same fingerprint, leading to a high false-positive rate.“
Übersetzt via DeepL:
„Dieser Ansatz liefert zwar eine beeindruckend aussehende Demo, ist jedoch für reale Szenarien, in denen Nutzer Websites über mehrere Tage hinweg besuchen, weniger effektiv… Wir vermuten zudem, dass bei der Demo die Erzeugung ‚konsistenter‘ Fingerabdrücke Vorrang vor der Genauigkeit hat. Das bedeutet, dass vielen Nutzern derselbe Fingerabdruck zugewiesen werden könnte, was zu einer hohen Falsch-Positiv-Rate führen würde.“
Die Verfasser des Artikels: Das Problem ist, dass Safari es mittlerweile auch schafft die „Randomized Fingerprint“-Medallie bei CoverYourTracks abzustauben und es dennoch schafft fingerprint.com zu schlagen. Brave gelingt das nicht. Es sollte hierbei angemerkt werden, dass es noch weitere solcher Fingerprint-Firmen gibt, die eben keine öffentlich zugängliche Live-Demo zur Verfügung stellen. Sollen wir daher die Ergebnisse von fingerprint.com ignorieren? Nein, da deren Live-Demo uns zumindest einen besseren Einblick darüber geben wie die Tracking-Industrie arbeitet - auch wenn sie die Einzigsten sind mit einer öffentlichen Live-Demo.
„Was sagt die Wissenschaft dazu?“
Gemäß eines Research-Papers von 2025 mit dem Titel „Breaking the Shield: Analyzing and Attacking Canvas Fingerprinting Defenses in the Wild.“ konnte man aufzeigen, dass Brave’s Farbling-Methode mittels statistischer Analyse gebrochen werden kann. Die Forscher haben 9 Erweiterungen und Brave’s Farbling erfolgreich durchbrochen.
Das Ergebnis des Papers: Es gibt bislang keine vollständig funktionierende Verteidigung gegen Canvas-Fingerprinting. Allerdings ist Generalisierung mittels fester/standardisierter Werte wie bei Firefox und Safari robuster als die Randomisierung bei Brave. Dieses Research-Paper hat Safari als den besten Browser ausgewählt im Mobile-Bereich diesbezüglich wie auch im Desktop-Bereich.
„Ist Brave damit eine schlechte Wahl?“
Nein. Er ist immer noch besser als Chrome oder Edge und bietet gute Privatsphärenfunktionen an wie der eingebaute Werbe-/Trackerblocker und HTTPS-Upgrade. Je nach Bedrohungsmodel wäre jedoch Safari oder Firefox besser, wenn es um das Verhindern von Fingerprinting geht… oder gleich der Mullvad-/Tor-Browser.
In einem Nachtrag/Update hat man folgendes angemerkt: Selbst wenn man WebGL (auf umständliche Weise wie Gruppenrichtlinien oder das Einfügen von Variablen) in Brave deaktiviert, bleiben die IDs bei fingerprint.com. Das zeigt auch, dass WebGL alleine nicht als Ankerpunkt für das Fingerprint-Tracking angesehen werden kann. Es ist wohl ein Mix von Schriftarten, mathematischen berechneten Hashes, Plattformidentifikationen und Hardwarespezifikationen.
Die einzige wirksame Methode mit Brave wäre diesen im „privaten Modus mit Tor“ einzusetzen (macht es nicht, weil dies das Konzept vom Tor-Browser bricht) ODER eure Zeitzone regelmäßig zu ändern im Betriebssystem. Anscheinend - so die Theorie der Verfasser - sorgt die nicht geänderte Zeitzone gemeinsam mit dem WebGL-Vendor und dem VPN-Anbieter einen stark genugen Anker fürs Tracking über Sessions hinweg.
Meinung von OP:
Ich denke, dass dieser Artikel gut aufzeigt, dass Tools wie CoverYourTracks zwar nett sind, aber im echten Leben nicht als Maßstab-Tools verwendet werden sollen. Jedenfalls sollte meiner Meinung nach Brave ihre Vergleiche mit Firefox und Safari anpassen, da das meines Erachtens langsam den Bereich der Irreführung hier überschreitet.