Torbrowser und Fingerprinting - wie ist man identifizierbar?

Guten Tag! Ich habe eine Frage zum Browser Fingerprinting insbesondere im Tor Browser. Durch Tor wird die IP Adresse verschleiert und dadurch die Ermittlung des Anschlussinhabers erschwert.

Nun liest man immer wieder, dass man aufgrund des Browser Fingerprints trotzdem identifizierbar ist und nachverfolgt werden kann.

Ich habe mir nun angeschaut welche Daten beim Fingerprint erfasst werden. Ist es aber tatsächlich so, dass man nur wegen des Finger Prints im Standardmodus von Tor bis zum Anschlussinhaber rückermitteln und persönlich identifizieren kann, ohne die IP?Mir ist nicht klar wie das alleine mit dem Fingerprint gehen soll.

Tor wird dabei nur zum Aufruf eines Email Accounts genutzt der ebenfalls bereits über Tor angelegt wurde. Es wurden über den Browser zu keiner Zeit Adressformulare oder überhaupt sonstige persönliche Daten veröffentlicht.

Gruß Jannik

Grundsätzlich kümmert sich der Tor Browser auch darum Fingerprinting zu unterbinden.

Darüber hinaus wurde Tor Browser entwickelt, um auf Websites „Fingerprinting“ zu verhindern, oder dich basierend auf deiner Browserkonfiguration identifizieren. Standardmäßig speichert der Tor Browser keinen Browserverlauf. Cookies sind nur für eine einzelne session gültig (bis der Tor Browser verlassen wird oder eine New Identity angefordert wird).

Quelle: https://support.torproject.org/de/glossary/tor-browser/

Überlgegungen dazu finden sich auch im Blog:

https://blog.torproject.org/browser-fingerprinting-introduction-and-challenges-ahead/

Ebenso in Diskussionen im Forum:

https://forum.torproject.org/tag/fingerprinting

Danke für deine Antwort, die mich schon etwas weiterbringt. Soweit ich es aber bei Tor verstanden habe gilt das nicht in Standardmodus, da der Modus Java Script zulässt. Wenn also der Browser in Standardmodus läuft müsste doch auch gefingerprinted werden, so dass sich für mich halt die Frage stellt, ob allein ein Browser Fingerprint die Identifikation einer Person ermöglicht, so dass es für die Feststellung des Namens des Anschlussinhabers am Ende gar keiner IP bedarf…

Der Standardmodus ist ja nicht mit dem von Firefox zu vergleichen. Auch wenn ich die Details nicht kenne gehe ich doch davon aus, dass auch mit JS einige Angriffe abgewehrt werden.

Teste doch mal z. B. mit https://browser-fingerprint.cs.fau.de/

Vielleicht habe ich es auch zu speziell gefragt in Bezug auf Tor… es geht mir auch allgemein um die Frage ob ein Anschlussinhaber persönlich ermittelt werden kann ohne IP Adresse und nur auf der Grundlage des Browser Fingerprints…

Beim Tor Browser geht es nicht darum, alles zu vermeiden. Auch Fingerprinting ist hier gar kein Problem. Solange du den Tor Browser in der Standardeinstellung lässt und nichts veränderst, hast du den selben Fingerabdruck, wie tausende andere Tor Browser Nutzer auch. Und damit gehst du in der Masse unter. Das ist das Ziel vom Tor Browser. Deine eigene IP kann so nicht ermittel werden.
Für besonders sensible Dinge kann man die Latte noch höher legen und nicht nur den Tor Browser nehmen, sondern gleich Linux Tails oder Qubes OS mit Whonix. Da gibt es noch mehr Sicherheit und Möglichkeiten.
Ich selbst benutze täglich Tails und fahre sehr gut (sicher) damit.

1 „Gefällt mir“

Deine eigene IP kann so nicht ermittel werden.

Selbstverständlich kann deine IP Adresse mit dem Tor Browser ermittelt werden. Wenn du das Glück hast dass dein Guard und deine Relais der NSA gehören, können die Daten mühelos verknüpft werden und schon weiß man wer du bist.

Okay, dafür musst du tatsächlich das „Glück“ haben, dass du an die Server der NSA gerätst. Glücklicherweise gibt es aber auch tausende andere Relais, die davon nicht betroffen sind. Ich bin weder kriminell, noch paranoid. Wer tatsächlich unbedingt unterm Radar bleiben will, braucht aber außer dem Tor Browser noch andere Mechanismen, um sich abzusichern.
Der „normale“ User ist damit gut genug abgesichert. Weder Google noch der Webseitenbetreiber kann deine IP-Adresse feststellen. Und ich denke, dass es darum hier geht.

Naja kriminell ist Definitionssache. In manchen Ländern ist man kriminell, wenn man Kritik an der Regierung äußert. Grundsätzlich ist in den Augen jedes Staates ein Tor/VPN Nutzer, oder jemand der seine Daten verschlüsselt, kriminell, denn man hat ja was zu verbergen. Warum sollte man sonst weltweit versuchen Stück für Stück diese Dienste zu kriminalisieren und abzuschaffen? Ja, auch hier in Europa.

WIe genau der TorBrowser Fingerprinting verhindert ist mehr als dürftig erklärt in der Beschreibung. Sollte es tatsächlich nur darauf beruhen die Fenstergröße zu beschränken, die Sprache auf englisch zu stellen und Zitat: " Standardmäßig speichert der Tor Browser keinen Browserverlauf. Cookies sind nur für eine einzelne session gültig." Dann ist das in meinen Augen fahrlässig.

Zum Thema Google.
Besuche mal mit dem TorBrowser eine Seite wie https://amiunique.org/
Du wirst schnell feststellen, dass du auch damit identifizierbar bist und Webseitenbetreiber oder Google dich damit durch verschiedene Instanzen tracken können.

Um auf die Frage des Fragestellers zu antworten:
Du kannst zum Beispiel durch deine Grafikkarte bzw. die Darstellung von Schriften getrackt werden. Diese ist hardwarebedingt einzigartig. Du brauchst nur einmal einen Dienst von Google nutzen, ohne deine IP zu verschleiern. Schon ist deine IP mit einer UniqueID verknüpft. Wenn du dann einen Dienst von Google mit verschleierter IP aufrufst, aber die Darstellung der Schrift mit deiner UniqueID übereinstimmt, weiß man (bzw. der Algorithmus), wer sich hinter der IP verbirgt. Und du solltest Google nicht unterschätzen, was das speichern von Daten angeht.

Man könnte sich dagegen schützen, indem man Javascript deaktiviert und Canvas-Fingerprinting somit unterbinden. Allerdings bewegst du dich dann nicht mehr in der Masse und bis einzigartig. Du fällst also auf.

Im Detail ist das hier beschrieben: https://2019.www.torproject.org/projects/torbrowser/design/#fingerprinting-linkability

Ergänzung: Im Firefox ist das über privacy.resistFingerprinting = true umsetzbar. Für z.B. deutsche Nutzer ist das aber eher fragwürdig. Siehe dazu die Anmerkungen im Privacy-Handbuch.

3 „Gefällt mir“

Damit ist meine Aussage über den TorBrowser hinfällig. Wenn sich der Fingerprint nach jeder Session zwar als Unique herausstellt, sich aber dennoch von der letzten Session unterscheidet, dann ist das kein Problem mehr.
Danke für den Link!

An dieser Stelle mal ein Dankeschön für deine Beiträge und Verlinkungen seeket.
(Ebenfalls dein Thread zu uBlock und deinen ausgeführten Erklärungen.)

Qualitativ ein Segen und stets fundiert. :orange_heart:

Da schaut man gerne mal rein und findet auf Anhieb die richtigen Infos.

1 „Gefällt mir“