Benutzer IMHO schrieb:
Beim ersten (!) Kontakt verrät mein Fingerprint mich so ausführlich, dass der Server ein an meinen Browser angepasste Bildversion erstellt.
Ja, aber eben auch nicht mehr. Der Server weiß jetzt, welchen Browser und welches Betriebssystem du benutzt, und kennt vielleicht ein paar Systemeinstellungen. Diese Daten sind aber noch nicht so gut wie ein richtiger Fingerabdruck.
Wertet der Server nur die gängigen Parameter aus, dann bist du in diesem Moment nur irgendeiner von vielen Benutzern, die zufällig die gleichen Systemeinstellungen haben. Treibt er dagegen mehr Aufwand und schnüffelt auch nach Dingen wie Plugins, Farben oder Schriftarten, dann bist du vielleicht nur noch ein Einzelner oder Einer unter wenigen, aber diese Identifizierung wird auch dadurch wieder unzuverlässig, dass sich die erschnüffelten Daten leicht ändern.
[...] grundsätzlich (1) kann mein Hash-vermittelter Etag nicht mehr verraten als der Fingerprint meines Browsers [...] Im Gegenteil verrät ein Bilder-
Hashwert allenfalls meine Displaygröße und Auflösung, während mein Fingerprint wohl zusätzlich auch die installierten Addons verrät. Also mit dem Etag verstecke ich mich in einer größeren Menge von Usern, die dieselben Displayeinstellungen nutzen.
Es geht nicht darum, dass ETag oder Fingerprint selbst irgendwelche Eigenschaften über dich verraten, sondern der Punkt ist, dass du damit eindeutig identifiziert werden kannst. So kann deine komplette Historie über alle Seiten verfolgt werden, die dasselbe Tracking-System nutzen.
Wenn der ETag als Tracking-Instrument missbraucht wird, enthält er eben nicht nur einen Hash der Bilddatei, sondern zusätzlich einen eindeutigen, vom Server generierten Identifizierungs-Code. Dieser Code identifiziert dich wesentlich zuverlässiger als jede Art von Fingerprint, der aus irgendwelchen Systemeinstellungen abgeleitet werden muss.