Häufig gestellte Fragen


Browser Fingerprinting

  1. Was sind Browser Fingerprints?
  2. Woraus besteht ein Browser Fingerprint?
  3. Woher stammen die Informationen für Browser Fingerprints?
  4. Wofür werden Browser Fingerprints verwendet?
  5. Sind Browser Fingerprints bösartig?
  6. Wird auf dieser Webseite bereits mein Browser Fingerprint gemessen?

Anmeldung / Registrierung

  1. Wieso habe ich keine Verifikations-E-Mail nach der Registrierung erhalten?
  2. Wieso brauchen Sie meine E-Mail-Adresse für Ihre Studie?
  3. Ist das Anklicken von Links in E-Mails nicht gefährlich (Stichwort Phishing)?

Während der Teilnahme

  1. Wieso habe ich keine E-Mail erhalten, um meinen Fingerprint messen zu lassen?
  2. Was ist, wenn ich vergessen habe meinen Fingerprint messen zu lassen?
  3. Wieso ist die Anzahl der Fingerprints größer als die Anzahl der Teilnehmer/-innen?
  4. Sind wirklich alle diese Merkmale notwendig, um einen Browser Fingerprint zu bestimmen?
  5. Wieso ist mein Canvas/WebGL Fingerprint eine Zeichenfolge?
  6. Was ist dieser Bericht, der im Abstand von 4 Wochen versendet wird?
  7. Wie kann ich mich von der Studie abmelden?

Unsere Studie

  1. Wodurch helfe ich Ihnen Browser Fingerprinting zu erforschen?
  2. Wieso gibt es hierfür keine App? E-Mails sind umständlich.
  3. Was unterscheidet diese Studie von verwandten Studien?
  4. Was ist mit anonymisierter Form hinsichtlich der Veröffentlichung von Fingerprint-Daten zu Forschungszwecken gemeint?
  5. Was ist der zeitlich stabilste Fingerprint?
  6. Wann soll der Datensatz zu Forschungszwecken veröffentlicht werden?

Antworten

Browser Fingerprinting

  1. Was sind Browser Fingerprints?

    Unter dem Fingerabdruck eines Browsers versteht man eine Zusammenstellung von Merkmalen, anhand derer sich eine Browser-Installation und damit auch der Benutzer dieses Browsers wiedererkennen lässt, sofern die Merkmalausprägungen einzigartig genug sind.

  2. Woraus besteht ein Browser Fingerprint?

    Ein Browser Fingerprint kann aus offensichtlichen Informationen (z. B. Browsername, Browserversion) bestehen, aber auch aus weniger offensichtlichen Informationen (z. B. Liste aller installierten Plugins und Schriftarten, oder Versionsnummern von Browserkomponenten). Generell können alle Informationen in den Fingerprint einfließen, die während der Kommunikation im Web anfallen oder auf Webseiten gezielt abgefragt werden können.

  3. Woher stammen die Informationen für Browser Fingerprints?

    Eine Vielzahl der Informationen lässt sich mit Hilfe von JavaScript abfragen, welches auf den Großteil aller Webseiten aus verschiedenen Gründen zum Einsatz kommt. Weitere Informationen, z. B. die vollständige Liste aller installierten Schriftarten, lassen sich mit Hilfe der im Browser installierten Plugins abfragen (z. B. Flash, Silverlight, Java).

  4. Wofür werden Browser Fingerprints verwendet?

    Ähnlich dem menschlichen Fingerabdruck, mit dem sich Menschen eindeutig identifizieren können, lassen sich auch Browser-Installationen mehr oder weniger eindeutig identifizieren. Die Mehrheit aller Browser-Installationen besitzt einen einzigartigen Fingerprint. Das bedeutet, dass Benutzer im Web – ohne sich zuvor auf einer Webseite angemeldet zu haben – wiedererkannt und sogar über mehrere Webseiten hinweg verfolgt werden können.

  5. Sind Browser Fingerprints bösartig?

    Browser Fingerprints können sowohl für etwas Gutes als auch für etwas Schlechtes eingesetzt werden. Ein möglicher guter Verwendungszweck ist beispielsweise der Schutz vor Online-Konto-Diebstählen basierend auf der Erkennung von verdächtigen Veränderungen der Browsermerkmale zwischen Anmeldungen. Ein offensichtlicher schlechter Verwendungszweck ist das Verfolgen von Usern ohne deren Wissen oder Zustimmung, zumal sich Browser Fingerprinting technisch nur schwer verhindern lässt.

  6. Wird auf dieser Webseite bereits mein Browser Fingerprint gemessen?

    Nein. Wir werden Browser Fingerprints im Rahmen dieser Studie nur messen, wenn Sie einen Link aufrufen, den wir Ihnen per E-Mail zugesendet haben.

Anmeldung / Registrierung

  1. Wieso habe ich keine Verifikations-E-Mail nach der Registrierung erhalten?

    Überprüfen Sie ihren Spam/Junk-Ordner und markieren Sie unsere E-Mail-Adresse als vertrauenswürdigen Kontakt. Sollte sich keine E-Mail in Ihrem Spam/Junk-Ordner befinden, kontaktieren Sie uns bitte per Mail (siehe Kontaktseite).

  2. Wieso brauchen Sie meine E-Mail-Adresse für Ihre Studie?

    Wir erhoffen uns durch die Registrierung mit E-Mail-Adressen präzisere Ergebnisse bei der Zuweisung von Browser Fingerprints über einen längeren Zeitraum zu erzielen als es mit der Wiedererkennung auf Basis von Cookies möglich wäre. Wenn Ihre Teilnahme endet, wird Ihre E-Mail-Adresse aus der Datenbank gelöscht. Unter keinen Umständen erfolgt eine Weitergabe von personenbezogenen Daten an Dritte.

  3. Ist das Anklicken von Links in E-Mails nicht gefährlich (Stichwort Phishing)?

    Wir signieren alle unsere E-Mails mit einem S/MIME-Zertifikat der Friedrich-Alexander-Universität Erlangen-Nürnberg, welches nachweisbar macht, dass eine E-Mail wirklich von uns gesendet wurde:

    Zertifikatsinhaber GRP: CS1 Browser Fingerprinting
    E-Mail-Adresse cs1-browser-fingerprint@fau.de
    Seriennummer 20 52 F6 19 27 50 67 26 C6 CB 5E 3F
    SHA1-Fingerabdruck 8F 25 45 70 57 D1 EF AE 82 31 B8 46 19 E8 A6 EC D8 D4 1E 04
    SHA256-Fingerabdruck 08 7E EC 14 5E 67 4C CA F4 6C 46 91 8F E6 8D 67 CE A7 50 E5 B1 60 33 3A 22 4F B8 C4 AA 1E 99 5C
    Gültigkeitsbeginn 07.01.2019 17:04:29
    Gültigkeitsende 06.01.2022 17:04:29

    Eine kurze Anleitung mit Bildern zur Überprüfung der digitalen Signatur am Beispiel des E-Mail-Programms Mozilla Thunderbird:

     

    1. Briefumschlag-Icon entdecken, welches auf eine digitale Signatur hinweist Anklicken zum Vergrößern
    2. Icon anklicken, um die Signatur zu sehen Anklicken zum Vergrößern
    3. Auf Unterschriftszertifikat ansehen klicken, um vollständige Details zu sehen Anklicken zum Vergrößern

     

    Sie können das S/MIME-Zertifikat für unsere E-Mail-Adresse cs1-browser-fingerprint@fau.de bzw. für unsere Gruppe GRP: CS1 Browser Fingerprinting auch direkt vom Deutschen Forschungsnetz (DFN) herunterladen und manuell in Ihrem E-Mail-Programm importieren.

    Falls Sie weiterhin Zweifel haben, lassen Sie unsere E-Mails als Reintext-Nachricht anzeigen (nicht als HTML-Nachricht) und überprüfen Sie die enthaltenen Links darauf, dass alle mit https://browser-fingerprint.cs.fau.de/ beginnen und klicken Sie nur auf jene Links mit einem solchen Anfang, oder kontaktieren Sie uns.

Während der Teilnahme

  1. Wieso habe ich keine E-Mail erhalten, um meinen Fingerprint messen zu lassen?

    Überprüfen Sie ihren Spam/Junk-Ordner und markieren Sie unsere E-Mail-Adresse als vertrauenswürdigen Kontakt. Sollte sich keine E-Mail in Ihrem Spam/Junk-Ordner befinden, kontaktieren Sie uns bitte per Mail (siehe Kontaktseite).

  2. Was ist, wenn ich vergessen habe meinen Fingerprint messen zu lassen?

    Nichts. Sie sind zu keinem Zeitpunkt dazu verpflichtet irgendwas zu tun. Wir würden uns aber natürlich darüber freuen, wenn Sie uns ermöglichen, Ihren Browser Fingerprint so häufig wie möglich zu messen.

  3. Wieso ist die Anzahl der Fingerprints größer als die Anzahl der Teilnehmer/-innen?

    Die erhobenen Merkmale Ihres Browsers können zwischen Fingerprint-Messungen variieren (z. B. durch Veränderungen von Browsereinstellungen oder durch ein Browser-Update). Außerdem steht es den Teilnehmenden frei, alle ihre Browser auf unterschiedlichen Geräten und mit unterschiedlichen Einstellungen zu testen. Im Rahmen der Studie werden Sie daher vermutlich mehrere Fingerprints besitzen. Ihnen wird stets angezeigt, ob der Fingerprint des aktuell verwendeten Browsers einzigartig ist, oder ob es bereits andere Teilnehmer/-innen mit demselben Fingerprint gab.

  4. Sind wirklich alle diese Merkmale notwendig, um einen Browser Fingerprint zu bestimmen?

    Nein. Verwandte Studien haben gezeigt, dass bereits sehr wenige Merkmale ausreichen können, um Browser u. U. eindeutig wiederzuerkennen. Wir wollen aber auch die Verteilung und Ausprägungen von nicht sehr aussagekräftigen Merkmalen ermitteln, um beispielsweise die Randomisierung oder Vereinheitlichung von Merkmalen als Schutzmaßnahme zu untersuchen und besser bewerten zu können.

  5. Wieso ist mein Canvas/WebGL Fingerprint eine Zeichenfolge?

    Ihr Canvas/WebGL Fingerprint wird als Hashwert dargestellt. Ein Hashwert ist das Ergebnis einer Hashfunktion, welche eine in der Regel große Eingabe auf einen Ausgabewert geringerer Länge abbildet. Der Eingabewert ist in unserem Fall eine von Ihrem Browser gerenderte Grafik und die Ausgabe ist ein hexadezimaler Wert (Zahlen 0-9, Buchstaben a-f, Länge 64).

    Da der Hashwert einer Eingabe für gewöhnlich eindeutig ist, wird er Fingerprint genannt und kann daher unter anderem dafür verwendet werden, um die Gleichheit bzw. Ungleichheit von großen Eingabewerten anhand ihrer Hashwerte zu überprüfen.

  6. Was ist dieser Bericht, der im Abstand von 4 Wochen versendet wird?

    Der Bericht, den Sie alle 4 Wochen während Ihrer Teilnahme als PDF-Datei per E-Mail erhalten, fasst Ihre bisherige Teilnahme zusammen und gibt Ihnen einen Überblick über die Anzahl Ihrer Messungen, unterschiedlichen und einzigartigen Fingerprints sowie über Ihre Wiedererkennungsdauer und Ihre Wiedererkennbarkeit im Vergleich zu anderen Teilnehmenden. Sie können sich gerne einen Beispielbericht anschauen.

  7. Wie kann ich mich von der Studie abmelden?

    Besuchen Sie den Abmeldelink, den wir in jeder unserer wöchentlichen E-Mails einbinden.

Unsere Studie

  1. Wodurch helfe ich Ihnen Browser Fingerprinting zu erforschen?

    Beim Besuch eines Links zur Fingerprint-Messung, werden wir Merkmalsausprägungen Ihres Browsers abfragen und -speichern. Dadurch, dass wir den Seitenaufruf Ihrer E-Mail-Adresse zuweisen können, können wir sicherstellen, dass das Vorkommen Ihres Fingerprints innerhalb der Studienteilnehmer exakt gemessen werden kann. Außerdem können wir überprüfen, inwiefern sich Ihre Merkmale über den Zeitraum der Studie verändern.

    Um Gegenmaßnahmen, z. B. die Randomisierung von Merkmalen, besser bewerten zu können, brauchen wir realistische Daten über die Verteilung von Browser Fingerprints und die Ausprägungen verschiedener Merkmale. Dafür müssen wir unter kontrollierten Bedingungen Browser Fingerprints messen, weswegen eine Registrierung zur Teilnahme an der Studie erforderlich ist.

    Zu keinem Zeitpunkt werden wir Ihre personenbezogenen Daten an Dritte weitergeben. Nach dem Ende Ihrer Teilnahme an der Studie wird Ihre E-Mail-Adresse aus der Datenbank gelöscht und es wird keine Zuordnung von E-Mail-Adresse zu Browser Fingerprints mehr möglich sein.

  2. Wieso gibt es hierfür keine App? E-Mails sind umständlich.

    Mit einer mobilen App würden wir die Gruppe der Teilnehmenden auf Smartphone- und Tablet-User einschränken. Wir möchten allerdings Browser Fingerprints von Desktop-, Laptop-, Smartphone- und Tablet-NutzerInnen ermitteln. Auf Basis der via E-Mail versendeten Links erhoffen wir uns den Großteil der Endgeräte abzudecken.
  3. Was unterscheidet diese Studie von verwandten Studien?

    Verwandte Studien verwendeten zur Wiedererkennung von Benutzern Cookies, um die Gesamtzahl und die Veränderungen von Browser Fingerprints zu kontrollieren. Deswegen war bei diesen Studien eine vorherige Registrierung der Teilnehmenden nicht notwendig.

    Unser Ansatz basiert auf Teilnehmenden, die sich mit Ihrer E-Mail-Adresse registriert haben, sodass wir die Gesamtzahl und die Veränderungen von Browser Fingerprints präziser kontrollieren können. Außerdem wollen wir Testdatensätze für Forschungszwecke aus anonymen Fingerprint-Daten zusammenstellen (z. B. zum Testen von Gegenmaßnahmen).

  4. Was ist mit anonymisierter Form hinsichtlich der Veröffentlichung von Fingerprint-Daten zu Forschungszwecken gemeint?

    Wir möchten aus den ermittelten Browsermerkmalen von denjenigen Teilnehmenden, die sich bei der Registrierung mit einer Veröffentlichung einverstanden erklärt haben, einen Datensatz zusammenstellen. Dieser Datensatz soll im Grunde aus den einzelnen Messungen bestehen und folgende anonymen Zuordnungen ermöglichen:

    • Die Person X hatte die Fingerprints F1, F2, ...,
    • Die Fingerprints F1, F2, ... hatten die Merkmalausprägungen m1, m2, ...
    • Die Fingerprints F1, F2, ... wurden zu den Zeitpunkten t1, t2, ... gemessen
    • Die Personen X und Y hatten n identische Fingerprints/Merkmalausprägungen
    • usw.

    Jede Person wird anonymisiert durch eine zufällige Identifikationsnummer dargestellt. Merkmale, die eine äußerst seltene Ausprägung aufweisen, werden ebenfalls anonymisiert (z. B. in Form von Keyed-Hashes).

    Wir werden versuchen den Datensatz so detailliert wie möglich zu gestalten, allerdings unter Berücksichtigung des Datenschutzes.

  5. Was ist der zeitlich stabilste Fingerprint?

    Der zeitlich stabilste Fingerprint eines/r Teilnehmenden ist derjenige Fingerprint, der unter allen einzigartigen Fingerprints eines/r Teilnehmenden am längsten konstant geblieben ist. Er drückt damit die längste Zeitspanne aus, in der ein/e Teilnehmende/r anhand seines/ihres Fingerprints wiedererkennbar war.

  6. Wann soll der Datensatz zu Forschungszwecken veröffentlicht werden?

    Die Datenakquise wird voraussichtlich im Q1 2018 enden. Anschließend werden Untersuchungen auf Basis des gesamten Datensatzes erfolgen, bevor die Zusammenstellung beginnt.