Follow

Gerade herausgefunden: Canvas-Fingerprinting kann in der Developer-Konsole von Webkit-Browsern (z.b. Safari und Epiphany) schnell erkannt und visualisiert werden. Beim Big-Brother-Preisträger Zeit Online findet man es auf jeder Artikelseite 🙄

Das entsprechende Script der Zeit ist von der israelischen Firma Cheq (offenbar gegen Klickbetrug). Auch Cookies der Leser gehen dorthin. cheq.ai/
Keine Erwähnung in der Datenschutzerklärung, kein Opt-Out möglich.

Der Werbemarkt wie immer: ein rechtsfreier Raum.

Nicht jeder Canvas ist ein Fingerprint. Aber solche Testbilder aus Schrift, Linien, Farben und Verläufen sind sicher für Tracking. Das Canvas-Fingerprinting wird offenbar eingesetzt, wenn der Leser seine Cookies gelöscht hat. Guter Fachartikel dazu: dl.gi.de/bitstream/handle/20.5

@alex Ich empfehle wie immer: Formlose Datenschutzbeschwerde mit Beleg der eigenen Betroffenheit.
datenschutz-hamburg.de/beschwe

@nifker Addons sind bei unerlaubtem Tracking der falsche Weg.

Ich empehle: Einfach mal eine Datenschutzbeschwerde einreichen. Dann wird das serverseitig im großen Stil gelöst und alle haben etwas davon.

Bis heute hat nach meinem Wissen von den ca. 70.000 Personen, die meine Facebook-Tracker-Recherche gelesen haben, keine eine Datenschutzbeschwerde eingereicht. Warum sollte ein Unternehmen dann etwas ändern?

@nifker Aber trotzdem zu deiner Frage noch die Antwort: Ich glaube, solange du Javascript nicht deaktivierst, bekommst du Fingerprintingschutz allgemein nur mit Heuristik der Code-Snippets oder mit Verschleierung hin und das ist wieder durch die Anbieter teilweise umgehbar. Also ein Katz-und-Maus-Spiel Außerdem gibt es durchaus vernünftige Anwendungen, z.B. Maßnahmen gegen Betrug. Muss eben nur in die Datenschutzerklärung mit allen Rechtsoptionen (Widerspruch, Löschung, Auskunft).

@rufposten
Allein dafür, dass Seitenbetreiber Adblocknutzer aussperren, kann man die schon verklagen, ist bisher aber auch nichts passiert - Ich hab da nicht viel Hoffung dass DE's Lobbyisten etwas daran ändern werden, aber man kann es ja mal probieren.
Die meisten Zeitungen jammern leider immer rum wenn man JS deaktivert, von daher immer sone Sache. Oder gibt es eine Einstellung/Addon womit NoJS frames nicht gerendert werden?

@nifker @rufposten für FF nehme ich 'Canvas Blocker', das fälscht den Fingerprint für jede Seite unterschiedlich. War glaube ich in den Empfehlungen von @kuketzblog dabei.

@rufposten
Mit Epiphany unter GNOME kann ich das nicht reproduzieren, das Canvas bleibt bei mir weiß und der Netzwerk Traffic zeigt auch kein cheq.ai. Hast du zufällig noch nützliche Tips, wie ich das hinreichend Nachweisen kann?

@ck
Ich hab es mit Epiphany gemacht, aber manchmal hab ich auch nur leere Canvas, dann ist es kein Tracking.
1. Alle Cookies löschen
2. Kein privater Modus, sondern normales Fenster öffnen, Cookies zulassen.
3. Die Developer-Console öffnen, Canvas wählen
4. Zeit aufrufen und einen Artikel anklicken.

Vorher mal einen sichtbaren Canvas testen:
developer.mozilla.org/en-US/do

Oder hier, ebenfalls mit Fingerprinting:
dastelefonbuch.de/

@ck Ach, und die URL von dem Script ist anders als die Firma: cheqzone.com

@rufposten Könnte addons.mozilla.org/de/firefox/ dagegen helfen? Je nachdem wie der Datentransfer zu dem externen Anbieter läuft.

@rufposten
Und, schon Beschwerde bei der Datenschutzaufsicht eingelegt und eine strafbewehrte Abmahnung geschrieben? Sollte nach dem EuGH-Urteil nicht mehr unter den Tisch fallen.

@Datenschutzgeno Kann das nur allen Betroffenen empfehlen. Die Berufsethik als Journalist erlaubt mit den Rechtsweg allerdings nur bei privater Betroffenheit, da ich sonst die Grenze zum Aktivisten überschreite.

@rufposten
Ich hab mir die Zeit-Seite angeschaut. Den Canvas-Aufruf finde ich, aber wo wird das Ergebnis an Dritte übermittelt?

@Datenschutzgeno Hier ist das Script, das den Canvas zeichnet:
ob.cheqzone.com/placement_invo

Die Datenweitergabe findet ganz normal über Parameter und Cookies an die gleiche Domain statt, der Call z.B. an show_pla startet ebenfalls in dem Script.

Was genau die Paramter bedeuten müsste man dem Script entnehmen bzw. das soll die Zeit klären. Die normalen Cookie-Regeln werden ja auch nicht eingehalten.

@rufposten ...wenn ich sehe, was noch so alles nachgeladen wird, bevor ich überhaupt die Seite sehe....DSGVO lässt grüßen! Aber diese Fingerprints....tstststs...was kommt noch?

@medienverbinder @rufposten Webbugs (Zählpixel) sind nach vor enthalten (gestrige Kurzüberprüfung per "webbkoll.dataskydd.net"). Als ich das letzte Mal genauer nachgeschaut habe (kurz nach der Vergabe des "Big Brother Award"), waren die Webbugs in jedem einzelnen Unterthema (individuell angepasst an das jeweilige Thema) zu finden.

@danilo @medienverbinder Ganz ohne Zählpixel geht überhaupt nichts im werbefinanzierten Journalismus, man braucht selbst ohne verhaltensbasierte Werbung neutral erfasste Zugriffszahlen.

Das Problem ist die fehlende Kontrolle der Verlage über ihre Seiten, wie hier mal ein Verlag offen zugegeben hat: social.tchncs.de/web/statuses/

@rufposten
Naja, im idealen Fall, dass Browser ihre Nutzer hinreichend schützen, werden die Zählpixel ja alle wirkungslos.
Warum also nicht heute schon andere Methoden suchen? Zumal ja keiner weiß wieviel Zählpixel heute schon geblockt werden, weil sie eben geblockt sind und gar keine Anfrage beim Server ankommt.

@danilo @medienverbinder

@rufposten @danilo @medienverbinder gibt's dafür nicht eigentlich Serverlogs? Die IPs der Crawler kann man ja rausfiltern oder gibts damit noch ein mir nicht bewusstes Problem?

@jrt @danilo @medienverbinder Ich nehme an, Serverlogs kann man direkt fälschen, deshalb sind externe Pixel neutraler. Wobei der heutige Betrug schon so groß und globalisiert ist, dass ein gefälschtes Serverlog vermutlich das unwahrscheinlichste Problem wäre.

@rufposten @danilo @medienverbinder interessant, hätte nicht erwartet, dass Clickbetrug/Aufrufzahlen fälschen bei großen Seiten ein Problem darstellt.
So wie ich das jetzt verstanden habe zähle ich also nicht in die Statistik, da ich alle 3rd party URLs blocke.

@rufposten Ja, davon habe ich Kenntnis. Die Umschreibung "Parasitenskript" finde ich sehr treffend und gut gewählt. Wobei FB selber schon durch und durch als "parasitär" anzusehen ist. Oder anders formuliert: FB ist eine pandemie-ähnliche Seuche.

@funnypanja OK.. Unter was für einen CW? Datenschutz?

@funnypanja @Drezil Kannst du kurz erklären, warum das notwendig oder wichtig wäre?

@funnypanja @Drezil Das überzeugt mich nicht, das käme ja einer Verschlagwortung aller Inhalte zum Steuern der Streams gleich, während gleichzeitig alles hinter Buttons verschwindet. Das möchte ich nicht.

@funnypanja @Drezil CW ist dafür auch das falsche Werkzeug. Sinnvoller wäre, wenn du Filter für bestimmte Begriffe anlegst. Kann mir entsprechend auch nochmal vornehmen, etwas mehr mit Tags zu arbeiten.

Sign in to participate in the conversation
Mastodon

One of the first Mastodon instances, there is no specific topic we're into, just enjoy your time!