Webseite, die alle vom Browser preisgegebenen Informationen zeigt

 (sinceyouarrived.world)
24 Punkte von GN⁺ 2026-05-09 | 2 Kommentare | Auf WhatsApp teilen
  • Diese Seite zeigt nur mit den Daten, die der Browser in den ersten Millisekunden nach dem Besuch übermittelt, Standort, Gerät, Browser, Sprache, GPU, Akku, Schriftarten und Nutzerpräferenzen an und verwendet dafür keine Exploits oder Hacks, sondern nur öffentlich dokumentierte Standardfunktionen.
  • Sie sendet die IP-Adresse aus allen Request-Headern an ip-api.com · Free tier · CC-BY-SA, um sie in den Stadtnamen und den Namen des Internetanbieters umzuwandeln; die Abfrage wird nicht gespeichert, auf dem Bildschirm werden nur einige Oktette angezeigt, es wird aber ausdrücklich darauf hingewiesen, dass auch der Rest bekannt ist.
  • Beim Font-Fingerprinting werden installierte Schriftarten über die Breite gerenderten Textes erkannt, Electronic Frontier Foundation · Cover Your Tracks bietet ein Werkzeug zur Prüfung der Einzigartigkeit des Browsers, und eine Princeton-Studie von 2014 fand Canvas-Fingerprinting auf 5 % der 100.000 größten Websites.
  • Zwar wird es auf der Seite nicht ausgeführt, aber es gibt die Clipboard API, mit der sich per einzelner Nutzeraktion das zuletzt Kopierte anfordern lässt, „The Leaking Battery“, das mit Akkustand und Entladezeit ein Tracking von bis zu 30 Minuten zeigte, sowie eine Technik, mit Favicons eingeloggte Websites zu erkennen.
  • An den Server wurden nur zwei anonyme Events gesendet, Ankunft und Abschluss; in cookies, localStorage, sessionStorage, IndexedDB oder dem Service-Worker-Cache wird nichts gespeichert, und beim Schließen des Tabs werde der Besucher vergessen.

Informationen, die der Browser direkt nach dem Eintreffen übermittelt

  • Alle Beobachtungen von taken. stammen aus den Daten des Besucher-Browsers in den ersten Millisekunden nach dem Besuch; verwendet werden keine Exploits, Schwachstellen oder Hacks, sondern nur öffentlich dokumentierte Standardfunktionen.

  • Standort

    • Die IP-Adresse, die in allen Request-Headern enthalten ist, wird an ip-api.com · Free tier · CC-BY-SA gesendet und dort in den Stadtnamen und den Namen des Internetanbieters umgewandelt.
    • Die Abfrage ist nur temporär, wird auf keiner Seite gespeichert, und auf dem Bildschirm werden nur das erste und das letzte Oktett der IP angezeigt; zugleich wird darauf hingewiesen, dass auch der Rest bekannt ist.
    • Nach der DSGVO kann eine IP-Adresse als personenbezogenes Datum gelten, wenn sie zum Tracking verwendet wird; taken. betreibt jedoch weder Tracking noch Speicherung oder Logging.

  • Browser-APIs

    • Gerätebeobachtungen wie Bildschirm, Browser, Sprache, GPU, Anzahl der Kerne, Akku, Schriftarten und Nutzerpräferenzen werden über standardisierte JavaScript-APIs abgerufen, die öffentlich in den MDN Web Docs · Mozilla · CC-BY-SA 2.5 dokumentiert sind.
    • Das Verhalten ist so durch das Browser-Design möglich, was zu der Schlussfolgerung führt: „Das Design ist das Problem.“

  • Font- und Canvas-Fingerprinting

    • Die Technik des Font-Fingerprinting, bei der installierte Schriftarten über die Breite gerenderten Textes erkannt werden, ist seit 2010 dokumentiert; Electronic Frontier Foundation · Cover Your Tracks bietet ein Werkzeug, um zu prüfen, wie einzigartig ein Browser ist.
    • Die meisten Browser sind auch ohne Cookies einzigartig genug, um im offenen Web verfolgt zu werden, und die Kombination von Schriftarten ist dabei eines der stärksten Signale.
    • Eine Studie von 2014 des Princeton University · Web Transparency & Accountability Project dokumentierte Canvas-Fingerprinting erstmals im realen Web und fand es auf 5 % der 100.000 größten Websites.
    • Beim Canvas-Fingerprinting wird der Browser des Besuchers angewiesen, ein verstecktes Bild zu zeichnen, und die gerenderten Pixel werden anschließend als Identifikator wieder ausgelesen; taken. führt diese Technik zwar nicht aus, der Browser unterstützt sie jedoch.

  • Zwischenablage und Akku

    • Laut MDN · Clipboard API specification kann eine Seite durch eine einzelne Nutzeraktion wie Klick oder Tap anfordern, den zuletzt kopierten Inhalt zu lesen.
    • Der zuletzt kopierte Inhalt kann ein Passwort, eine Adresse oder ein Nachrichtenentwurf sein; taken. fordert ihn nicht an, aber die Funktion existiert in modernen Browsern.
    • Das Paper „The Leaking Battery“ von Olejnik, Englehardt und Narayanan aus dem Jahr 2015 zeigte, dass sich Besucher allein mit der Kombination aus Akkustand und Entladezeit bis zu 30 Minuten lang über mehrere Websites hinweg ohne Cookies oder Accounts verfolgen lassen.
    • Firefox entfernte die entsprechende API 2016, doch Chrome und Edge stellen sie weiterhin bereit.

Nicht ausgeführte Techniken und keine hinterlassenen Daten

  • Erkennung eingeloggter Websites

    • taken. führt sie nicht aus, aber es gibt eine dokumentierte, legale und weit verbreitete Technik, bei der der Browser die Favicon-URL eines bestimmten Dienstes lädt und aus Erfolg oder Misserfolg abgeleitet wird, auf welchen Websites man eingeloggt ist.
    • Ausgenutzt wird der Unterschied, dass im eingeloggten und ausgeloggten Zustand unterschiedliche Bilder zurückgegeben werden; so lässt sich ohne Erlaubnis erkennen, ob jemand bei Facebook, Google, X, GitHub, Reddit, LinkedIn und weiteren Diensten angemeldet ist.

  • Im Browser berechneter Barcode

    • Die 16 Linien, die unter dem Zähler angezeigt werden, bestehen aus Höhen, die aus GPU, Schriftarten, Bildschirmgröße, Sprache, Zeitzone, Betriebssystem, Browser und Farbtiefe abgeleitet werden.
    • Dieselben Daten erzeugen denselben Barcode, andere Besucher sehen andere Barcodes; die Berechnung findet nur im Browser statt und wird nicht übertragen.
    • Wer exakt denselben Fingerabdruck hat, würde dieselben Balken sehen, aber diese Wahrscheinlichkeit ist gering.

  • Art der Satzerzeugung

    • Alle Sätze wurden direkt von Matt geschrieben; beim Ausführen schreibt oder überarbeitet kein Sprachmodell die Sätze.
    • Der Code wählt abhängig von den vom Browser zurückgegebenen Werten eine von vorab geschriebenen Satzvorlagen aus; wenn ein Zustand nicht mit von Menschen geschriebenen Sätzen behandelt werden kann, sagt er bewusst gar nichts.

  • Was an den Server gesendet wurde

    • An den Server gesendet wurden nur zwei anonyme Events, Ankunft und Abschluss; es gibt weder Cookies noch Identifikatoren noch gespeicherte IPs.
    • Der Server verwirft den Body jeder Anfrage und gibt nichts zurück; Transportprotokolle darüber, dass eine Anfrage stattgefunden hat, können in den Logs für die Standardaufbewahrungsdauer des Hosting-Anbieters verbleiben, typischerweise einige Tage.
    • Die meisten Websites senden Hunderte zusätzliche Beacons an Werbeanbieter, Fingerprinting-Sammler, Session-Replay-Tools und Tag-Manager; taken. sendet nur zwei an den eigenen Server und weist ausdrücklich darauf hin.

  • Was auf dem Gerät gespeichert wurde

    • In cookies, localStorage, sessionStorage, IndexedDB oder dem Service-Worker-Cache wird nichts gespeichert.
    • Die auf dem Bildschirm gezeigten Daten wurden im Browser berechnet und verlassen das Gerät nicht, abgesehen von der IP-Geolokalisierungsabfrage und den zwei anonymen Events.
    • Beim Schließen des Tabs vergisst taken. den Besucher und schließt zusammen mit der Offenlegung des Quellcodes mit dem Satz, dass „die meisten Seiten das nicht behaupten können“.

  • Kontext der Serie und Entstehung

    • Vol. I befasst sich mit dem, was in der Welt geschah, während der Besucher blieb, Vol. II mit dem Himmel, den man verpasst hat, Vol. III mit dem, was schon unter den Füßen lag, und Vol. IV verengt den Fokus zunehmend auf den Besucher selbst.
    • Die Seite wurde von Matt bei Rise Up Labs erstellt; künftige Ausgaben sollen auf X und Bluesky erscheinen.

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2026-05-13
Lobste.rs-Kommentare

  • Vielleicht bin ich einfach alt und zynisch geworden, aber hier ist nichts dabei, das auf sinnvolle Weise neu wäre. Das „hot singles in your area“-Meme dürfte inzwischen auch schon fast 20 Jahre alt sein
    Bei manchen Informationen kann man sich fragen, ob der Browser sie wirklich preisgeben sollte, aber einiges davon wird nicht nur für Fingerprinting verwendet, sondern auch für grundlegende Funktionen benötigt. Zum Beispiel ist es gut, wenn eine Website weiß, dass ich den Dark Mode bevorzuge, und es ist auch nützlich, wenn Datum und Uhrzeit in meiner Zeitzone angezeigt werden
    Diese Seite liefert weniger praktische Informationen, sondern stellt Fingerprinting eher reißerisch dar, und wenn man sich um Fingerprinting sorgt, ist https://coveryourtracks.eff.org von der EFF deutlich besseres Material
    Privatsphäre ist mir wichtig und ich ergreife auch Maßnahmen, um Tracking zumindest etwas zu reduzieren, aber ich glaube nicht wirklich, dass es tatsächlich hilft, Fingerprinting einzuschränken. Wenn man gar keinen Fingerabdruck mehr haben will, wird das Surferlebnis extrem unbequem, und Zwischenschritte erzeugen womöglich eher noch einen einzigartigeren Fingerabdruck

    • Selbst wenn viele Leute das alles schon wissen, kann eine neue Art der Vermittlung hilfreich sein. Weniger technikaffinen Familienmitgliedern hilft so etwas, besser zu verstehen, was ihr Computer alles sendet, und sie finden es ästhetisch interessanter als so etwas wie coveryourtracks
    • Gar keinen Fingerabdruck zu haben bedeutet im übertragenen wie im wörtlichen Sinn eher, noch ~~verdächtiger~~ auffälliger zu sein
      Und vieles von dem, was hier getrackt wird, ist sehr gewöhnlich. Wenn alle dieselben Schriftarten verwenden, helle Themes bevorzugen und in derselben Region leben, wie soll man daraus ein wirklich hochindividuelles Profil machen?
    • Traurig ist, dass die Zeitzone offenbar über die IP geschätzt wird und deshalb nicht immer stimmt

  • Eine schöne Demo, und mir gefällt, wie die Informationen durch die Animation nach und nach enthüllt werden. Aber die Analyse und der Text sind mir zu sehr stimmungsgetrieben
    Zum Beispiel sind viele der Dinge, die diese Seite über den Browser „verstanden“ zu haben behauptet, in Firefox tatsächlich hartkodierte Werte, die unabhängig vom realen Gerätezustand ausgegeben werden. Fingerprinter merken den Unterschied vielleicht nicht, aber Firefox bevorzugt Konsistenz bei gerätespezifischen Informationen wie CPU-Anzahl oder Bildschirmauflösung
    In Firefox sagt diese Seite einerseits, meine GPU-Informationen würden vom Browser „versteckt“, und andererseits, der Browser habe GPU-Informationen übermittelt. Einfach nur Vibes?
    Unabhängig davon ist es bei anderen Seiten, die Trackbarkeit anzeigen, meist so, dass sie Entropie messen oder prüfen wollen, wie einzigartig man ist, aber auch dieser Ansatz ist leider fehlerhaft. Manche Browser fügen APIs, die eigentlich feiner sein müssten als nur „wie viele CPUs gibt es“, Zufälligkeit hinzu
    Firefox kann zum Beispiel für Canvas-Fingerprinter immer einzigartig wirken, was beängstigend aussieht, tatsächlich bekommt man aber jedes Mal einen anderen einzigartigen Fingerabdruck. Das kann man sehen, wenn man eine Fingerprint-Testseite im normalen Modus und im Privatmodus oder in verschiedenen Containern öffnet

    • „Ich lese das auf einem Telefon, auf dem Linux läuft. Der Browser ist Firefox. Der Bildschirm ist 0×0 Pixel groß und rendert mit einer Dichte von 1.5789473684210527. Der Bildschirm unterstützt 1 gleichzeitige Berührung.“
      Haha, stimmt

  • In den frühen Tagen des Internets gab es Bannerwerbung mit Formulierungen wie „Ihr Computer sendet gerade seine IP-Adresse!!!“. Diese Seite erinnert mich stark daran und auch an die Vorstellung, dass es auf irgendeine diffuse, schwer in Worte zu fassende Weise gefährlich sei, wenn die Website, die man besucht, etwas über das verwendete Gerät oder die Verbindung weiß
    Wenn ich nach draußen gehe, können Menschen mein Gesicht sehen. Wenn ich einen Laden betrete, können andere Kunden sehen, welche Regale ich mir anschaue. Wenn ich einen Karton Eier kaufe, führt der Laden einen Verkaufsdatensatz mit Zeitstempel, und wenn draußen jemand notiert, wer ein- und ausgeht, könnte er sogar im Müll den Kassenbon finden und herausbekommen, dass ich Eier gekauft habe
    Man kann voller Angst vor den schrecklichen Eingriffen in die Privatsphäre, die ständig stattfinden, die Jalousien schließen, sich im Haus verkriechen und nur noch mit per Tor gekauften Monero mit der Welt interagieren, oder man kann akzeptieren, dass so etwas schon immer Teil des Lebens war und kein großer Schaden daraus entsteht, dass eine Website meine lokale Zeitzone oder die CPU meines Computers kennt

    • Unheimlich wird es, wenn Geräte-Fingerabdrücke dazu genutzt werden, persönliche Profile zu erstellen. Es stört mich nicht, dass eine Website weiß, welche Schriftarten ich installiert habe, aber dass diese Information an Dritte weitergegeben und mit meinem Surfverhalten abgeglichen wird, um ein persönliches Profil zu erstellen, ist unheimlich
      Und zu sagen „So ist das Leben, akzeptier es oder zieh in den Wald“ scheint mir kein guter Ansatz zu sein, um irgendein Problem in dieser Welt zu lösen
    • Wenn man über die Analogie „Wenn ich nach draußen gehe, können Menschen mein Gesicht sehen“ nachdenkt: In einer normalen Innenstadt begegnet man in wenigen Minuten Hunderten von Menschen. Natürlich können sie alle mein Gesicht sehen
      Aber nehmen wir an, statt nur kurz hinzuschauen, kämen sie alle zu mir, zeichneten mein Gesicht, schauten auf die Uhr und notierten die Zeit sowie meine Kleidung und meinen Standort. Vielleicht würden sie mich sogar fragen, wohin ich gehe. In der Welt, auf die wir schnell zusteuern, würden sie womöglich sogar Kopien eines amtlichen Ausweises anfertigen
      Nachdem ich vorbeigegangen bin, bringen diese Hunderte Menschen ihre Notizen in ein großes Gebäude voller Millionen Angestellter von Konzernen und Behörden, wo die Skizzen und Aufzeichnungen über alle Menschen der Stadt sorgfältig sortiert werden. Wie Ermittler in einem Krimi pinnen sie alles an riesige Tafeln und verbinden es mit rotem Faden
      Sie tun das jeden Tag, um mich kennenzulernen. Ist das wirklich so diffus und schwer in Worte zu fassen?

  • „Die erste Information, die Ihr Gerät gesendet hat, war Ihre IP-Adresse. Deshalb wissen wir das. Den Rest wissen wir auch. Wir haben uns entschieden, es nicht anzuzeigen. Die meisten Seiten hätten diese Entscheidung nicht getroffen.“
    Der erste Absatz stößt mir etwas auf und wirkt wie Angstmarketing für Menschen mit wenig technischem Wissen. Natürlich kennt ein Webserver meine IP
    Auch der Satz „Wir haben uns entschieden, es nicht anzuzeigen. Die meisten Seiten hätten diese Entscheidung nicht getroffen“ wirkt seltsam. Ich verstehe nicht, warum es problematisch wäre, mir meine eigene IP-Adresse zu zeigen, und ich glaube auch nicht, dass „die meisten Seiten“ sich tatsächlich dafür entscheiden würden. Vielleicht habe ich den beabsichtigten Punkt verfehlt

  • „Ihre IP-Adresse — 88.xxx.xxx.231 — war das Erste, was Ihr Gerät gesendet hat. Den Rest wissen wir auch. Wir haben uns entschieden, es nicht anzuzeigen. Die meisten Seiten hätten diese Entscheidung nicht getroffen.“
    So schlampig und mit InfoWars-artigen Formulierungen einzusteigen, ist eine gewagte Entscheidung. Für mich hat das sofort die Glaubwürdigkeit des Rests der Seite untergraben, und eigentlich müsste man sagen: Es hat „den Ton gesetzt“, denn der Rest war ähnlich schwach

  • Dieser Beitrag bräuchte wohl einen deutlich erklärenderen Titel

  • „Der Bildschirm ist 375×812 Pixel groß und rendert mit 3-facher Dichte. Das bedeutet mit ziemlicher Sicherheit, dass es sich um ein aktuelles High-End-Display handelt.“
    Naja, dieses iPhone 13 mini kam 2021 heraus und ist inzwischen fast fünf Jahre alt, also würde ich es nicht unbedingt als so aktuell bezeichnen. Die Seite selbst ist aber trotzdem interessant

  • „Sie bevorzugen eine helle Benutzeroberfläche — das hat uns Ihr Betriebssystem mitgeteilt.“
    Und trotzdem ignoriert diese Website meine Präferenz. Das zeigt, dass Websites solche Datenpunkte meist nicht zur Verbesserung der User Experience nutzen

    • Hat diese Website überhaupt einen hellen Modus? Wahrscheinlich nicht, weil sie unbedingt diese gruselige Stimmung vermitteln will

  • Mit Chrome dürfte das hart sein

    • Davon auszugehen, dass Fingerprinting in anderen Browsern nicht stattfindet, ist töricht. In manchen Fällen wird der Fingerabdruck dadurch sogar noch einzigartiger

  • Ich nutze gerade in München eine 5G-Verbindung, aber die Seite glaubt, ich sei in London
 
GN⁺ 2026-05-09
Hacker-News-Kommentare

  • Ich bin nicht einmal in dieser Stadt. Im Groben nutze ich nur so etwas wie Chrome auf so etwas wie Linux, und niemand kann daraus ableiten, wann ich arbeite und wann ich schlafe. Ich weiß es selbst nicht
    Der angeblich moderne High-End-Display ist nur der Bildschirm eines billigen Tablets, das ich vor fünf Jahren im Supermarkt gekauft habe, und trotzdem nervt mich Browser-Fingerprinting. Wenn ihr den Light Mode erkennen könnt, könnt ihr diese Einstellung dann nicht auch respektieren?

    • Das hier gezeigte Maß an Fingerprinting ist im Vergleich zu dem, was im echten Web passiert, gar nichts
    • Auch der Batterieprozentsatz war falsch, und der Ladestatus ebenfalls. Dass der Light Mode respektiert werden sollte, stimmt, aber selbst dann wäre es wahrscheinlich nur ein kontrastarmes Schrott-Display gewesen
    • Bei mir hieß es, ich sei in „Los Angeles“, dabei ist nur meine Zeitzone dort. Und weil ich zwei Eingabesprachen habe, tun sie so, als hätten sie dafür irgendwelche „erwischt“-Punkte bekommen, obwohl ich die zweite Sprache einfach nur oft benutze
      Da steht „English · Chinese“ und dann, dass Browsersprache und zusätzliche Sprachen einem Herkunftsort, Wohnort und sogar Mitbewohner verraten würden, aber englische und chinesische Eingabesprachen verraten so etwas nicht. Das ist ungefähr so, als würde man sagen: „Die Tatsache, dass du mit dem Handy ins Internet gehst, verrät, dass du jemand bist, der mit dem Handy ins Internet gehen kann.“ Technologien interagieren miteinander, so funktionieren sie nun einmal. Das ist Orwellsch, aber ob es orwellscher ist als Überwachungsstaaten wie Russland/China/Nordkorea, ist eine andere Frage. Über Standortfreigabe kann man Handy, Auto und Geräte finden, über Online-Aktivitäten Kriminelle aufspüren und Vorfälle dokumentieren, bei denen es um Verbrechen oder Rechenschaftspflicht der Polizei geht. Die übermäßige Eingriffstiefe von Technik als Katastrophe zu sehen, ist eine kognitive Entscheidung, aber es ist gut, sich bewusst zu machen, was unsere Technik über uns „weiß“
    • Mit Apple Private Relay VPN lag mein Standort um Hunderte Meilen daneben. Es ist immer interessant zu sehen, wo Websites oder Dienste mich laut ihren Geodatenbanken verorten, und wenn ich es ausschalte, liege ich auf ein paar Meilen genau. Zum Glück blockiert kaum etwas Apples VPN, daher muss ich es nicht abschalten
      Beim Light Mode stimme ich komplett zu. Ich bin Mitte dreißig, aber manche dieser Dark-Mode-Seiten lassen mich fühlen, als wäre ich Mitte achtzig. Auf dieser Seite kann ich wirklich gar nichts erkennen
    • Bei mir auch nicht. Es zeigt Brussels an, aber ich bin tatsächlich in Antwerp. Auch die Bildschirmauflösung war falsch

  • Ich wünschte, Privacy-Befürworter würden wenigstens einmal normal reden. Es als etwas Böses darzustellen, dass ein Browser Zugriff auf die Zeitzone hat, überzeugt wirklich niemanden

    • „Sie bevorzugen eine dunkle Oberfläche — das Betriebssystem hat es uns verraten.“ Also funktioniert meine Einstellung einfach wie vorgesehen, und das soll jetzt gruselig sein?
    • Stimme zu. Informationen wie meine Sprache, ob ich Dark Mode nutze oder nicht, oder meine Zeitzone können für eine bessere User Experience verwendet werden, daher ist mir das ziemlich egal
    • Das ist dieser übliche kurze LLM-Stil, der alles dramatisch klingen lässt; das ist wie Fingernägel auf der Tafel
    • Aber wenn ich die einzige Person auf der Welt in dieser Zeitzone bin, dann haben sie mich doch eindeutig identifiziert!

  • Ob die Informationen korrekt sind, ist nicht der Punkt. Der Punkt ist, dass sie ein Mittel sind, mich auch ohne Cookies zu identifizieren. Als ich nach besseren Seiten gesucht habe, fand ich EFF hilfreich
    Mein Browser-Fingerprint wurde unter den Besuchern der letzten 45 Tage als einzigartig eingestuft: https://coveryourtracks.eff.org/

    • Bei mir steht: „Sie haben einen starken Schutz gegen Web-Tracking“. Man muss Firefox + uBlock Origin im Advanced Mode einfach lieben, wenn Websites noch funktionieren, ohne dass man JavaScript abschaltet
    • Sollte man, wenn man solche Seiten mehrfach testet, dann nicht jedes Mal nicht einzigartig sein?
    • Zumindest in Europa gilt die DSGVO weiterhin, auch wenn statt Cookies Fingerprinting eingesetzt wird. Wenn diese Informationen genutzt werden, muss das offengelegt werden, und die Daten müssen gesetzeskonform verarbeitet werden
    • Dass „Fear, Uncertainty and Doubt“ nicht korrekt sein müssen, sei egal, wirkt schon etwas seltsam
    • Trotzdem ist es mir lieber, wenn die Informationen ungenau sind. Wenn Websites mich auf unhöfliche Weise tracken wollen, kann ich ihnen wenigstens einzigartige Müll-Daten füttern

  • Wenn man ohne JavaScript kommt, steht dort: „Wenn JavaScript deaktiviert ist, kann die Seite Ihnen nicht sagen, was Ihr Browser preisgegeben hat. Die Daten sind trotzdem da. Die Offenlegung findet trotzdem statt. Das Einzige, was aufhört, ist das Erzählen davon.“
    Dieser überdrehte LLM-Stil ist extrem nervig, aber immerhin signalisiert er mir, dass ich es komplett ignorieren kann, also danke dafür

  • Vielleicht bin ich einfach alt, oder ich mache seit fast 30 Jahren Internet-Software, aber nichts davon wirkt auf mich überraschend oder beunruhigend
    Jemand betreibt einen Server, der Verbindungen annimmt, und jemand anders schickt diesem Server eine Verbindungsanfrage. Es gab keine Vereinbarung, und Erwartungen oder Regeln wurden nicht festgelegt. Der Server muss nicht jede Verbindungsanfrage annehmen, und niemand muss diesem Server überhaupt eine Anfrage schicken. Was der Server zurückgibt und wie der Client das verarbeitet, bleibt beiden selbst überlassen
    Ich finde, diese Vereinbarung — oder das Fehlen einer solchen — gilt für beide Seiten. Ich denke nicht, dass Nutzer wütend sein sollten, weil eine Website Informationen aus der Verbindungsanfrage so nutzt, wie sie möchte, aber die Website sollte auch nicht wütend sein, wenn ich die Daten, die ich erhalte, so verarbeite, wie ich möchte. Mit anderen Worten: Eine Website kann sich meine IP-Adresse und die Details meiner Anfrage so lange merken, wie sie will, und ich kann mit der Antwort machen, was ich will. Ich kann Werbung blockieren, Folgeanfragen ablehnen, zu denen die Seite mich auffordert, oder die Antwort so anzeigen, wie ich möchte. Ich habe Daten angefordert, und die andere Seite hat Daten gesendet
    Wenn es Informationen gibt, die ich nicht über mich preisgeben will, sollte ich sie nicht in die Anfrage packen. Wenn jemand mir Daten nur unter der Bedingung geben will, dass ich Werbung anzeige, dann sollte diese Zustimmung eingeholt werden, bevor die Daten gesendet werden. Natürlich wissen die meisten Menschen in der Realität nicht, was ihr Browser tut, haben kaum echte Wahlmöglichkeiten darüber, was er sendet, und das Internet ist im Leben längst keine Option mehr. Wegen Dingen wie DDoS ist auch eine vollständig offene „alles ist erlaubt“-Struktur unrealistisch. Trotzdem habe ich intuitiv das Gefühl, dass man bei Internetanfragen von keiner Seite zu viel erwarten sollte

    • Das ist das eigentliche Grundproblem. Der Browser sollte der Vertreter des Nutzers sein. Schon der Name ist User Agent. Er sollte im Interesse des Nutzers handeln, der Nutzer sollte wissen, was der Browser tut, und der Browser sollte nichts tun, dem der Nutzer nicht informiert und ausdrücklich zugestimmt hat. Die letztliche Kontrolle darüber, was mein Browser sendet, sollte bei mir liegen, und der Browser sollte die Ausübung dieser Kontrolle trivial machen
      In Wirklichkeit ist der Browser der Vertreter von jemand anderem. Er arbeitet für Webentwickler und stellt ihnen jede Menge Dinge bereit, die ihr Leben leichter machen. Er arbeitet für Werbetreibende und liefert Tracking-Hinweise und Fingerprinting. Er arbeitet für Browserentwickler und sammelt Messwerte, Telemetrie und sonstige unbekannte Daten. Aber er arbeitet nicht mehr wirklich für mich. Ich bin nur noch ein Passagier im Auto
      Ich verstehe, dass die IP-Adresse nicht etwas ist, das der Browser kontrollieren kann, und dass sie offengelegt werden muss, wenn man eine Website erreichen will. Aber dass eine IP-Adresse im Standardzustand ohne VPN zuverlässig einem Land, einem Bundesstaat/einer Provinz und manchmal sogar einer Stadt zugeordnet werden kann, ist ein schrecklicher Designfehler. Das ist ein großes Designproblem der Art, wie IPs vergeben werden. In einer besseren Welt dürfte eine IP-Adresse nicht allein schon den geografischen Standort einer Person verraten
    • Formulierungen wie „Den Rest wissen wir auch. Wir haben uns nur entschieden, ihn nicht anzuzeigen. Die meisten Seiten hätten das wahrscheinlich nicht getan“ klingen, als wären sie geschrieben worden, um Kinder zu erschrecken. Außerdem war das Angezeigte nicht einmal mein Internetanbieter. Es könnte höchstens der Upstream-Provider meines ISP gewesen sein
    • Vielleicht bin ich auch alt, aber idealistisch, und würde sagen, dass viele dieser Funktionen klar für einen bestimmten Zweck hinzugefügt wurden
      Wenn ein Client einen Sprach-Header oder eine Liste unterstützter Schriftarten sendet, bedeutete das nicht: „Tut mit diesen Daten, was ihr wollt.“ Als wir Standards definiert haben, gab es dafür echte Gründe. Dass Website-Betreiber, genauer gesagt Werbenetzwerke, beschlossen haben, diese Dinge für andere Zwecke zu verwenden, bricht diese implizite Vereinbarung. Natürlich kann es sein, dass ich einfach zu viel erwarte
    • Der Standort war lächerlich ungenau, und als jemand, der hier schreibt, weiß ich auch warum. Dass die IP-Adresse ausgeblendet wurde, war etwas albern, aber weiter unten wurde es besser
      Es kannte den Akkustand meines Handys und traf auch die Schlussfolgerung über das Gerät richtig. Es hat den Gyroskop und Touchscreen-Interaktionen korrekt ausgelesen und gezeigt, wie solche Dinge für Identifikation und Rückschlüsse genutzt werden können. Man kann damit sogar erkennen, ob jemand sitzt, steht oder liegt. Anfangs war es lahm, aber nach hinten raus wurde es interessant
    • Wir alten Techniker scheinen immer noch an das technolibertäre Ideal des alten Web glauben zu wollen. Aber dafür muss man die kapitalistischen und autoritären Ideale des modernen Web ziemlich stark ausblenden
      Dieses Modell, in dem sich niemand gegenseitig etwas schuldet, funktionierte früher ganz gut, als man annehmen konnte, dass die meisten Akteure in gutem Glauben handeln. Aber als Geld und Macht des Internets real wurden, wurde die Beziehung feindseliger. Vertrauensannahmen und fehlende Rechenschaftspflicht machen es leicht, dass eine Seite den guten Willen der anderen ausnutzt. Wegen der technischen und machtbezogenen Asymmetrie der Server-Client-Struktur des Web läuft Missbrauch außerdem leicht in eine Richtung

  • Die Seite sieht hübsch aus, und die übertriebenen Formulierungen sind unterhaltsam, aber es gibt weitaus bessere Fingerprinting-Demos
    Die Zahl der hier gezeigten Datenpunkte ist klein. Es gibt sehr viel mehr, die man prüfen kann, und viele davon scheinen falsch zu sein. Es wurde nur ein einziges Element explizit als „withheld“ erkannt, aber tatsächlich scheinen mehrere Dinge verborgen worden zu sein, wodurch die Ausgabe verzerrt wird. Da braucht es Qualitätskontrolle

    • Der überzogene Ton ist ziemlich lustig. So nach dem Motto: „Sie befinden sich in [falsche Stadt]. Wir könnten jetzt sofort ein Ninja-Team schicken, um Sie zu töten, haben uns aber dagegen entschieden. Seien Sie dankbar.“
    • Kurz gesagt ist das einfach noch ein weiteres AI-generiertes Mischmasch-Projekt. Diesen UI-Stil habe ich inzwischen Dutzende Male gesehen, und immer hängen diese offensichtlich geschwollenen, übertriebenen Sätze daran

  • Sieht aus wie EFF Cover Your Tracks, nur per Vibe Coding gebaut. Dass das auf der Startseite gelandet ist, ist erschreckender als der Inhalt selbst

    • Ja. Es wirkt wie eine Seite, der man gesagt hat: „Kopier das, aber so, dass es nicht auffällt, und pack ein flashy Landing-Page-Theme drauf.“ Hässlich
    • Der Account ist seit 21 Tagen registriert, hat noch nie kommentiert und verfolgt diesen Thread auch nicht. Er hat nie auf Antworten geantwortet und wird es wahrscheinlich auch nicht tun. Dass solche Einreichungen nicht gemeldet werden, macht Hacker News kaputt

  • Hier gibt es viel mehr zu sehen. Es gibt auch reichlich Vorarbeiten zu Super-Cookies und Fingerprinting
    https://coveryourtracks.eff.org/
    https://amiunique.org/

    • Interessant. Als ich die EFF-Seite getestet habe, stand unter mehreren Informationen, ich sei „MacIntel“. Ich war überrascht, weil ich dachte, ich würde immer noch einen x86-Build von Firefox nutzen
    • Beide sind unten im Modal „Sources & Confessions“ verlinkt. Cover Your Tracks ist der geistige Vorfahr des gesamten Projekts, und amiunique ist strenger. Das hier ist eher so etwas wie der private Cousin davon
    • Es gibt auch ein weiteres Tool, um Informationslecks zu prüfen: https://www.ipleak.com/full-report/

  • Wow, jemand mit ChatGPT scheint das Konzept von Browser-Headern entdeckt zu haben und hat dann seltsame Sätze wie „Wir haben uns entschieden, es Ihnen nicht mitzuteilen“ daran geklebt
    Wenn man wirklich wissen will, was der Browser sendet, dann hier entlang:
    https://browserleaks.com/
    https://coveryourtracks.eff.org/

  • „Wir haben Ihren Standort nicht angefragt. Ihre Adresse war vor Ihnen da“ ist Unsinn. Sie haben mit meiner IP-Adresse als Schlüssel eine Standort-API/einen Standortdienst abgefragt, also haben sie meinen Standort sehr wohl angefragt
    Und damit Internet-Kommunikation funktioniert, ist eine IP fast unverzichtbar. Es gibt Dienste, die das verbergen, aber dann hat eben dieser Dienst meine Informationen

    • Nein. Im Browser gibt es einen Mechanismus, um Standortinformationen anzufragen, und mit „angefragt“ ist hier gemeint, dass genau dieser Mechanismus nicht verwendet wurde. Der wichtige Punkt ist, dass der Nutzer nicht gefragt wurde
      Wenn man ein Wörterbuch hat, muss man sein Gegenüber nicht unbedingt nach der Bedeutung eines gehörten Wortes fragen, sondern kann es im Wörterbuch nachschlagen. Das kann falsch sein, weil Wörter mehrere Bedeutungen haben oder umgangssprachlich verwendet werden. Um diese Ungenauigkeit zu korrigieren, braucht man entweder weitere Datenpunkte wie den Gesprächskontext oder man fragt die andere Person direkt nach einer Bestätigung
    • Ich glaube, du hast das falsch gelesen. Es bedeutet nicht „wir haben niemanden gefragt“, sondern wir haben den Nutzer nicht direkt gefragt
      Und natürlich kommt die Adresse zuerst an. Sonst könnten sie die angeforderten Daten gar nicht zurückschicken
    • Multi-Hop-Proxys ähnlich wie Tor gelten, je nach Aufbau, als so konzipiert, dass Start-IP und Ziel-IP nicht miteinander verknüpft werden können