Wo liegt das Problem genau?

Benutzer IMHO schrieb:


Das "ETag" ist eine Art Prüfsumme für ein Bild (oder auch für andere Objekte). Beim ersten Abruf schickt dir der Webserver mit dem Bild diese Prüfsumme, sagen wir "4711". Wenn dein Browser später das gleiche Bild noch einmal anzeigen soll, fragt er den Server, ob das Bild immer noch dieselbe Prüfsumme "4711" hat (also unverändert geblieben ist).

Der Witz dabei ist, dass die Prüfsumme nicht für alle Benutzer gleich ist. Vielmehr bekommt jeder Benutzer seine eigene, individuell ausgewürfelte Prüfsumme, etwa "IMHO-4711". Wenn dein Browser später nach der Prüfsumme "IMHO-4711" fragt, kann der Server daran erkennen, dass du noch derselbe Benutzer bist.

Dazu kommt außerdem das es 2(3) Arten von "Merken" (Caching) durch den Browser gibt.
a) der Server sagt dem Browser bei der ersten Anfragen das er das Bild für X Zeit weiterverwenden kann, weil er nicht vor hat es zu ändern.
=> Solange kann der Browser das Bild ohne den Server zu
fragen nutzen.
b) der Server gibt dem Browser besagtes Etag mit und weißt ihn an das Bild zu "validieren".
=> Wenn der Browser das nächste mal das Bild braucht fragt
er den Server ob das Bild noch aktuell ist indem er das Eta
übermittelt.
(Es wird also immer noch eine Anfrage gestellt, nur das
dabei nicht das ganze Bild übertragen wird wenn es sich
nicht geändert hat - HTTP Statuscode 304)
c) (der Browser entscheidet von sich aus zu cachen)

Ja und?
Beim ersten (!) Kontakt verrät mein Fingerprint mich so ausführlich, dass der Server ein an meinen Browser angepasste Bildversion erstellt.
1) Wenn ich mit denselben Einstellungen weitersurfe ändert sich weder mein Fingerprint, noch brauche ich meinen Cache zu leeren. Denn ob ich das Bild mit meinem Fingerprint erneut anfordere oder ob ich per Hashprüfung gemeinsam mit dem Server feststelle, dass ich es nicht erneut brauche, macht nicht den fetten Unterschied. Vielleicht kann ich durch Hashabgleich sogar verhindern, meinen Fingerprint erneut bekanntgeben zu müssen.

2) Sollte ich meine Einstellungen so gründlich ändern, dass der Fingerprint erheblich abweicht, damit ich mit dem ersten Ansurfen nicht mehr in Zusammenhang gebracht werden kann, dann nützt mir die gecachte Bilddatei auch nichts mehr, ich brauch eh eine neue Version der Bilddatei.

3) Irgendwelche halbherzigen Veränderungen des Browsers und des Fingerprints könnten dazuführen, dass das gecachte Bild aus dem Browsercache weiterverwendet werden kann. Wenn ich dann dem Server mitteile "mit diesem Fingerprint war ich noch nie bei Dir, aber das Bild habe ich trotzdem schon früher mal passend gecacht" - ja dann stelle ich dem Angreifer auf dem Server eine Knobelaufgabe, wie er jetzt rückschließt mit welchem Fingerprint ich das erste Mal da war.

Aber grundsätzlich (1) kann mein Hash-vermittelter Etag nicht mehr verraten als der Fingerprint meines Browsers, den ich jedesmal nutzen muss, wenn ich den Etag-Mechanismus ausschalte (sofern möglich).
Im Gegenteil verrät ein Bilder-Hashwert allenfalls meine Displaygröße und Auflösung, während mein Fingerprint wohl zusätzlich auch die installierten Addons verrät. Also mit dem Etag verstecke ich mich in einer größeren Menge von Usern, die dieselben Displayeinstellungen nutzen.

Allenfalls der Hinweis, dass beim Anonymisierungs-fördernden Ändern des Fingerprints auch der Etag-verwaltete Cache geleert werden muss, springt als Erkenntnis für mich hierbei raus.

Benutzer IMHO schrieb:


Ja, aber eben auch nicht mehr. Der Server weiß jetzt, welchen Browser und welches Betriebssystem du benutzt, und kennt vielleicht ein paar Systemeinstellungen. Diese Daten sind aber noch nicht so gut wie ein richtiger Fingerabdruck.

Wertet der Server nur die gängigen Parameter aus, dann bist du in diesem Moment nur irgendeiner von vielen Benutzern, die zufällig die gleichen Systemeinstellungen haben. Treibt er dagegen mehr Aufwand und schnüffelt auch nach Dingen wie Plugins, Farben oder Schriftarten, dann bist du vielleicht nur noch ein Einzelner oder Einer unter wenigen, aber diese Identifizierung wird auch dadurch wieder unzuverlässig, dass sich die erschnüffelten Daten leicht ändern.


Es geht nicht darum, dass ETag oder Fingerprint selbst irgendwelche Eigenschaften über dich verraten, sondern der Punkt ist, dass du damit eindeutig identifiziert werden kannst. So kann deine komplette Historie über alle Seiten verfolgt werden, die dasselbe Tracking-System nutzen.

Wenn der ETag als Tracking-Instrument missbraucht wird, enthält er eben nicht nur einen Hash der Bilddatei, sondern zusätzlich einen eindeutigen, vom Server generierten Identifizierungs-Code. Dieser Code identifiziert dich wesentlich zuverlässiger als jede Art von Fingerprint, der aus irgendwelchen Systemeinstellungen abgeleitet werden muss.

Benutzer Mobilfunk-Experte schrieb:

Danke, jetzt bin ich vom Schlauch runter. Der ETag ist dann nicht nur der Hashwert der Bilddatei.
Hat wohl jemand vergessen, die ETag-Bildung zu definieren :)
SHA-1 oder was weiß ich.
Das Leben könnte so schön sein, aber dann wäre es nicht mehr das echte Leben.

Benutzer IMHO schrieb:
Entweder steh ich jetzt auf den Schlauch, oder dun hast nen kleinen Denkfehler.

bei einem Bild braucht ja nur ein Pixel geändert werden, und schon ist sein DHA-1-hash (oder jeder andere Hash) anders. Je nach Bildformat kann es auch was Anderes als ein Pixel sein, jede für den Betrachter nahezu unsichtbare Änderung tut es auch.

Benutzer helmut-wk schrieb:

Dass für jede Bildversion ein anderer Hashwert zum Tragen kommt ist ja die sinnvolle und korrekte Anwendung des ETags.
Mein Denkfehler war, dass nur der ETag manipuliert vom Server ausgegeben wird um die individuelle Kennung des "anonymen" Servers darin zu verstecken.
Aber natürlich kann der Server auch noch steganographisch das ETag so individualisieren, dass selbst bei definierter Hashbildung in dem System mehr als nur die Kontrollsumme der jweiligen Bildversion transportiert wird.