Fachbereich Informatik und Medien Masterarbeit Nutzeridentifikation im Internet: Evaluation von Abwehrstrategien Vorgelegt von: Christian Labuda am: 04.08.2011 zum Erlangen des akademischen Grad Master of Science (M.Sc) Erstbetreuer: Prof. Dr. phil Dipl. Math. Barbara Wiesner Zweitbetreuer: Dipl.-Inform. Ingo Boersch Inhaltsverzeichnis 1 Einleitung ......................................................................................................................... 5 1.1 Motivation ................................................................................................................. 5 1.2 Ziel dieser Arbeit ....................................................................................................... 7 1.3 Abgrenzung ............................................................................................................... 7 1.4 Aufbau der Arbeit ..................................................................................................... 8 2 Privatsphäre ..................................................................................................................... 9 2.1 Informationelle Selbstbestimmung .......................................................................... 9 2.2 Staatliche Überwachung ......................................................................................... 10 2.3 Überwachung durch Unternehmen ........................................................................ 11 2.4 Datenverlust und Datenvermeidung ...................................................................... 13 3 Nutzeridentifikation....................................................................................................... 14 3.1 Definition ................................................................................................................ 14 3.2 Nutzeridentifikationsprozess .................................................................................. 14 3.2.1 HTTP-Requests ................................................................................................. 14 3.2.2 Sessions ............................................................................................................ 15 3.2.3 Profile ............................................................................................................... 16 3.3 Nutzeridentifikation durch Dritte ........................................................................... 19 3.4 Methoden zur eindeutigen Profilzuordnung .......................................................... 20 3.4.1 Passwortbasierte Authentifizierung ................................................................ 20 3.4.2 Cookies ............................................................................................................. 20 3.4.3 Hardware ID‘s .................................................................................................. 33 3.5 Methoden zur ähnlichkeitsbasierten Profilzuordnung ........................................... 34 3.5.1 Schriftarten ...................................................................................................... 35 3.5.2 UserAgent ........................................................................................................ 35 3.5.3 History .............................................................................................................. 36 3.5.4 Autocomplete .................................................................................................. 38 3.5.5 Ports/Programme ............................................................................................ 39 3.5.6 IP-Adresse ........................................................................................................ 39 3.5.7 Standortdaten .................................................................................................. 40 3.5.8 Implizites Wissen ............................................................................................. 41 3.6 Tracking ................................................................................................................... 42 3.6.1 Allgemein ......................................................................................................... 42 3.6.2 Informationsleck durch Iframes und Webbugs ............................................... 43 3.6.3 Cookie-Bibliotheken ........................................................................................ 44 3.6.4 Tools zum „Tracken“ von Webseitenbesuchern ............................................. 45 4 Abwehrmaßnahmen ...................................................................................................... 46 4.1 Schwachstellen im Identifikationsverfahren .......................................................... 46 4.2 Cookieabwehr ......................................................................................................... 48 4.2.1 Deaktivieren des DOM-Storage ....................................................................... 49 4.2.2 Abwehr von Flash-Cookies und Java-Cache-Cookies ...................................... 49 4.2.3 Cache ............................................................................................................... 51 4.2.4 Verlauf ............................................................................................................. 52 4.2.5 Drittanbietercookies verweigern ..................................................................... 52 4.2.6 Anti-Cookie Plugins .......................................................................................... 52 4.3 Anonym Surfen ....................................................................................................... 53 3 4.3.1 Modifizierung von Merkmalen zur Anonymisierung ....................................... 53 4.3.2 Anonymisierungsdienste .................................................................................. 55 4.4 Filterprogramme ...................................................................................................... 56 4.4.1 Werbeblocker ................................................................................................... 56 4.4.2 Filterproxys ....................................................................................................... 56 4.4.3 Werbefinanziertes Internet & Filterprogramme.............................................. 56 4.5 Identitätsmanagement ............................................................................................ 57 5 Entwicklung der Testseite .............................................................................................. 58 5.1 Anforderungen ........................................................................................................ 58 5.1.1 Client ................................................................................................................ 58 5.1.2 Cookies ............................................................................................................. 59 5.2 Sprachen .................................................................................................................. 59 5.3 Entwicklungsumgebungen ...................................................................................... 60 5.4 Architektur ............................................................................................................... 60 5.4.1 Server ............................................................................................................... 60 5.4.2 Client ................................................................................................................ 61 5.5 Funktionsablauf ....................................................................................................... 62 5.5.1 Cookies speichern ............................................................................................ 62 5.5.2 Cookies laden ................................................................................................... 63 5.6 Systemvorrausetzungen .......................................................................................... 64 5.7 Installation ............................................................................................................... 64 6 Evaluation von Abwehrstrategien .................................................................................. 65 6.1 Vorgehensweise ...................................................................................................... 65 6.2 Cookieabwehr .......................................................................................................... 65 6.2.1 Ziel .................................................................................................................... 65 6.2.2 Testumgebung .................................................................................................. 66 6.2.3 Durchführung der Tests.................................................................................... 67 6.2.4 Auswertung der Ergebnisse ............................................................................. 73 6.3 Anonymisierungsdienste ......................................................................................... 74 6.3.1 Vidalia Bundle ................................................................................................... 74 6.3.2 Jondonym ......................................................................................................... 75 6.3.3 Vor- und Nachteile beider Dienste ..................................................................