Neuer Browser vom Tor Project und Mullvad

Ja, ansich wärst du somit ein Nutzer in einer sehr kleinen Gruppe. Das „ob“ lässt sich aber nicht gut beurteilen: das hängt davon ab, wie viele Daten/Merkmale etwaige Tracker o.ä. erheben/nutzen.
Du unterscheidest dich auch erheblich von allen anderen „normalen“ Nutzern, wenn du den Mullvad Browser verwendest, und bist so schon in einer kleinen Gruppe - Stichwort resistFingerprinting, Letterboxing, etc…
Sollte ein Dienst also mehrere Dinge „prüfen“, und zusätzlich den Umstand ob deine IP ein Tor Exit-Node ist, wo diese Techniken hauptsächlich Anwendung finden, ist die Frage, was dann die „größere“ Gruppe ist: Jene, die Seiten auf Englisch anfordern, oder jene, die dies mit Deutsch tun?
Die Frage kann dir keiner wirklich beantworten - sicherlich werden auch ein paar Tracker o.ä. mit dieser Änderung etwas ausgetrickst.

Zusätzlich gibt es keine „wirkliche“ Gruppe, wenn du dir deine IP-Adresse(n) nicht mit anderen Nutzern teilst, die den Mullvad Browser auch verwenden - das muss aber nicht zwingend einen negativen Effekt haben.

Aus meiner Sicht ist der Mullvad Browser für das surfen ohne VPN nicht besser geeignet, als jedes andere größere „Härtungs“-/Anti-Fingerprinting-Projekt für den Firefox. Dafür wurde er nicht wirklich gemacht, und deswegen werden ihn vermutlich sehr wenige dafür verwenden.
Und wenn genau das der Fall ist, was wir nicht wirklich wissen können, erscheint es mir sinnvoller auf etwas anderes zu setzen, wo du eventuell dieses Problem gar nicht erst hast.

Du stichst auf jeden Fall aus der Masse der Deutschen/Österreicher(/mancher Schweizer/…) heraus, wenn du Webseiten nicht auf Deutsch anfragst. Das tust du aber auch durch die Zeitzone „UTC“, und das „Letterboxing“ Fenster des Browsers, die ebenso als Fingerprinting-Merkmal verwendet werden können.

Ich würde normalerweise sagen: Nimm Deutsch. Dann unterscheidest du dich in diesen Merkmal zumindest nicht von anderen Deutschen/Österreichern. Denn genau dieser Header, der für Sprache, wird an jeden Webserver für Ressourcen auf einer Webseite gesendet - CSS, Scripte, Fonts, Bilder, ….
Für die anderen beiden Dinge, und einige andere Sachen, braucht man JavaScript - was im Mullvad Browser natürlich schlecht eingeschränkt werden kann, ohne etwas an diesen zu ändern, was man nicht tun sollte - dadurch kommt man aber schon wieder zu den Fragen oben: Was nutzen Tracker/Fingerprintingskripte (eher), denen du tatsächlich über den Weg läufst, und was ist die größere Gruppe - Fragen die nicht beantwortet werden können.

Keiner meiner Browser übersteht den Canvas Fingerprinting Test. Immer Uniqueness 100% (The signature is unique to our database).
Bevor ich mir den Mullvad hole, kann mir das mal bitte einer von euch testen. Danke!

Ist die Signatur denn auch konstant nach Reload oder von Tab zu Tab ? Das wäre ja eine viel relevantere Information.

Bei Tor ist es beispielsweise so, dass jeder Aufruf des Tests zu 100% unique führt - aber die Signaturen sind alle unterschiedlich bei jedem Aufruf.

Um welche Browser (ggfs. mit welchen Add-Ons) geht es überhaupt ?

Zitat von https://www.privacy-handbuch.de/handbuch_21c5.htm (ganz unten):

Methoden zum Schutz gegen Fingerprinting führen aufgrund der zufälligen Fakes zu einem einzigartigen Fingerprint, der sich aber für jede Domain und nach Neustart des Browsers ändern sollte, um eine Verknüpfung des Surfverhaltens über mehrere Webseiten und langfristige Wiedererkennung zu verhindern.

Hab Privacy Browser, Mull und Mulch getestet. Mull+uBlock und Mulch saugen mir krass den Akku leer!

Laut dieser Seite kommt kein Android Browser ganz durch die Fingerprinting resistance tests:
https://privacytests.org/android.html

Privacy Browser soll erst ab v4 resistent sein.

Bei Desktop nur Brave, Librewolf, Mullvad und Tor:
https://privacytests.org/

Hast du dir mal angeguckt welche Metriken unter der Fingerprinting-Rubrik aufgelistet werden? Die Seite ist vollkommen unaussagekräftig bezüglich Fingerprinting und bildet nur einen winzigen Ausschnitt der bekannten Methoden ab.

Generell würde ich davon abraten aus Fingerprinting-Testseiten irgendwelche Schlüsse oder Handlungsempfehlungen abzuleiten. Man benötigt entsprechendes Wissen um das zu tun und das hat man erst wenn man sich tiefgehend mit dem Thema beschäftigt hat (zumindest Grundlagen verstehen, Research Papers lesen und mit fortgeschrittenen Methoden beschäftigen). Statistische Aussagen von allen mir bekannten Testseiten sind aufgrund systematischer Fehler in der Datenerhebung nicht mal annähernd aussagekräftig (Werte basieren auf Besuchern, die viel zu wenige sind und auch noch starken Bias haben)

Die Seite hat keine Ahnung von Fingerprinting:

1. Alleine die empfohlene individuelle Konfiguration lässt einen Nutzer herausstechen.
2. Fingerprinting-Schutz durch Extensions ist von vornherein zum Scheitern verurteilt, da Extensions gar nicht tief genug in den Browser eingreifen können und Schutz dementsprechend direkt in den Browser eingebaut werden muss. Zudem tragen sie selbst zum Fingerprint bei. Man kann die verwendete Extension detektieren inklusive einem Teil der verwendeten Einstellungen. Kombiniert mit der restlichen Fingerprinting-Oberfläche hat man nahezu keine Chance gegen gut ausgeführtes Fingerprinting.

Wer wirklich Schutz will, benötigt eingebaute Fingerprinting-Mitigations, wenig Raum für Individualisierung und eine Crowd (siehe Tor Browser oder Mullvad Browser). Auf Android und iOS reicht bei den populären Browsern wie Safari auch letzteres, da die Hardware und Software (außerhalb des Browsers) sehr homogen ist und wenig Raum für Individualisierung hat.

Soso - nehmen wir mal Google Pixel Smartphones mit aktuellem GrapheneOS und den Vanadium Browser - wenig Raum für Individualisierung, oder? Sind doch fast alle gleich… behauptest Du.

Und dann guckst Du mal hier bei denen, die von Fingerprinting ja keine Ahnung haben: https://www.privacy-handbuch.de/changelog.htm#280324

Ich kann die Teilnahme an der Studie Browser Fingerprinting, die an der Friedrich-Alexander Universität Erlangen-Nürnberg durchgeführt wird, empfehlen.

Nach knapp 6 Monaten habe ich für mich beschlossen, dass das Abtauchen in einer Gruppe eher nicht erfolgversprechend ist, da ich fast immer einen einzigartigen Fingerprint hatte. Um nicht über längere Zeit verfolgbar zu sein, ist es m.E. viel besser dafür zu sorgen, dass der Fingerprint nicht immer gleich ist.

Ein Diskussion zu Browser-Fingerprinting gab’s hier auch schon mal:
Android Browser Vergleich

Genau das ist beabsichtigt. Anstatt einen Fingerprint für mehrere Benutzer, verfolgt das Privacy-Handbuch den Ansatz, für jeden Benutzer, jede Webseite und jeden Browser Neustart einen neuen einzigartigen Fingerprint zu erzeugen:

Alle oben genannten Methoden zum Schutz gegen Fingerprinting führen aufgrund der zufälligen Fakes zu einem einzigartigen Fingerprint, der sich aber für jede Domain und nach Neustart des Browsers ändern sollte, um eine Verknüpfung des Surfverhaltens über mehrere Webseiten und langfristige Wiedererkennung zu verhindern.

Quelle

Das mehrere Benutzer den gleichen Fingerprint verwenden, ist (abgesehen vom Tor- und Mullvad-Browser) praktisch unmöglich.

Speziell für die unerfahreneren Browserbenutzer …
… wäre es schön, wenn die Browser-Macher (Mullvad, Tor) unübersehbar (bspw. mit Abschluss der Installation) darauf hinweisen würden, dass man den Browser im eigenen Interesse möglichst unverändert (im „Auslieferungszustand“) belassen sollte.

Nein ist es nicht. Ich rede hier von den Teilen die sich nicht bei jedem Seitenaufruf oder Browser-Neustart ändern. Bspw. die zahlreichen Browser-Einstellungen die Privacy-Handbuch vorschlägt oder die verwendeten Extensions und deren Einstellungen und nicht von den wenigen Dingen, die die vorgeschlagenen Extensions randomisieren.

Das Manipulieren von Javascript durch Anti-Fingerprinting-Extensions ist detektierbar und die Extension selbst kann gefingerprintet werden. Dadurch dass diese Extensions nur wenige Anwender haben und noch weniger, die die spezielle Privacy-Handbuch-Konfiguration verwenden (oder noch schlimmer, ihre eigene), landet man sehr schnell in einem sehr kleinen Topf an Usern. Zusammen mit anderen Metriken (Browsereinstellungen, Hardware, Fonts, OS, andere Extensions, Filterlisten, … ) ist man dann ziemlich sicher individuell eindeutig. Das Fingerprinting-Script kann die manipulierten Funktionen ignorieren oder manchmal sogar über andere Methoden die nicht manipulierten Werte abgreifen. Fingerprinting-Schutz durch Extensions ist fundamental zum Scheitern verurteilt. Siehe z.B. Thorin-Oakenpant’s Kommentar zu Anti-Fingerprinting-Extensions: https://github.com/arkenfox/user.js/wiki/4.1-Extensions . Lesenswert sind auch Kommentare zum Thema Jshelter, das auch vom Privacy-Handbuch empfohlen wird, in denen die Extension aber mal sowas von auseinander genommen wird: https://github.com/arkenfox/user.js/issues/1388

Das Problem ist, dass viele Privacy-Enthusiasten ein paar Testseiten besuchen oder alte Studien durchlesen und denken, dass das alles ist was zum Fingerprint beiträgt und dann darauf ihre Browser optimieren. Sie verändern Einstellungen, installieren Extensions, ändern die Einstellungen der Extensions usw, wo lange bis sie ein besseren Wert auf einer Testseite bekommen. Man ist stark optimiert auf die wenige Methoden die man getestet hat. Wird man nun von anderen Fingerprintingmethoden untersucht, wird einem das zum Verhängnis und man ist plötzlich eindeutig zu erkennen.

Dazu kommt noch, dass Fingerprinting eine statistische Methode ist. Und die Statistiken auf Fingerprinting-Testseiten sind völlig unbrauchbar (viel zu wenig Nutzer, sehr starker Bias (viel zu viele Privacy-Enthusiasten), keine fortschrittlichen Methoden).

Wirklich gute Fingerprintingscripte testen Einstellungen, Features und Version des Browsers, Manipulationen von JS-Funktionen, Extensions, Blocklisten, Hardware- und OS-spezifische Metriken, und vieles mehr. Sie verwenden Fuzzy-Hashing und Machine Learning zum Auswerten, Gewichten und Vergleichen der einzelnen Werte. Es kommen ständig neue Methoden hinzu in wissenschaftlichen Papers und Methoden die nicht öffentlich bekannt. Es gibt keine Testseite die das abbildet, selbst CreepJS, das in einigen Dingen fortgeschrittener ist als andere Testseiten.

Der einzige Weg das anzugehen ist es systematisch, mit eingebauten Mitigations (auf Desktop wichtiger als Mobil), kaum Spielraum für Individualisierung und mithilfe einer Crowd zu lösen. Genau das macht Tor Browser. Andere Browser wie Vanadium wollen in eine ähnliche Richtung gehen.

Ja, das wäre wünschenswert. Es kommt allerdings auch darauf an, was man erreichen und wovor man sich schützen möchte. Die Auswirkungen eines eindeutigen Fingerprints innerhalb des Tor-/Mullvad-Netzwerks sind überschaubar: Man könnte ein seitenübergreifendes Profil erstellen und/oder bestimmte Verbindungen/Knoten einem konkreten Benutzer zuordnen. Im Gegensatz zur IP-Adresse gibt es aber beim Fingerprint per se keine feste Verbindung zu einer Person bzw. einem Anschluss. Es ist eher eine virtuelle Identität. Abhängig von den besuchten Webseiten könnte man jedoch eine gewisse räumliche Nähe vermuten. Wenn bspw. jemand mit dem Mullvad-Browser und einem eindeutigen Fingerprint die Webseite einer örtlichen Bücherei besucht, könnte dies darauf hindeuten, dass die Person in der Nähe wohnt. Daher sollte man grundsätzlich mit verschiedenen Browsern und/oder Profilen arbeiten.

Ob Fingerprints überhaupt relevant sind, hängt auch sehr stark von den Webseiten ab, die man besucht. Nicht jede Webseite berechnet einen Fingerprint ihrer Besucher, und falls doch, geschieht dies eher über Drittanbieter (insbesondere für Werbung), die sich grundsätzlich einfach blockieren lassen - z.B. mit uBlock Origin im „Medium-“ und „Hard-Mode“ ode speziell im Tor-/Mullvad-Browser über die verschiedenen Sicherheitsstufen. Der Mullvad Browser wird zwar mit uBlock Origin ausgeliefert, allerdings mit nur zwei aktiven Listen (Adguard URL Tracking Protection und EasyList Cookie).

Den privaten Schnüfflern geht es nur um diese

Wenn der Fingerprint zusätzlich lange genug persistent ist, oder in Verbindung mit anderen Informationen nachverfolgt werden kann, ist das ein großes Problem und kann früher oder später zur Deanonymisierung führen. Weshalb dem Thema „Unlinkability“ im Tor Browser Design-Dokument auch einiges an Aufmerksamkeit geschenkt wird.

Fingerprinting ist nicht nur ein Browser Problem.

https://f-droid.org/packages/io.nandandesai.privacybreacher/

Mein Android ist neu, das Tool ist alt aber funktioniert immer noch! Klicke auf Phone Information. Du hast ein selteneres Model, deine ~200-300 Apps, einige seltenere Apps installiert und jede App auf deinen Android kann dich ohne Berechtigung annähern einzigartig fingerprinten! Daran denkt kaum einer der mit Cookie Banners popadiert wird! Das Thema ist echt verrückt.

Da muß endlich auch mal was auf OS Ebene geschehen.