Re: Facebook/Twitter/Google in eigene Browserinstanz einsperren
- To: debian-user-german@lists.debian.org
- Subject: Re: Facebook/Twitter/Google in eigene Browserinstanz einsperren
- From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Date: Sun, 11 Feb 2018 15:31:34 +0100
- Message-id: <[🔎] E1eksfG-0004bM-5U@swivel.zugschlus.de>
- In-reply-to: <20180126212809.gklz4qvxdgq4xdp3@hweidner.de>
- References: <E1edMaR-0008HO-1b@swivel.zugschlus.de> <20180121215813.x3skgkh7noq6d2tq@hweidner.de> <E1ee4vp-0005fm-VJ@swivel.zugschlus.de> <20180124101646.fksszx4bu3dwobra@hweidner.de> <E1ef5UU-0004iZ-S9@swivel.zugschlus.de> <20180126212809.gklz4qvxdgq4xdp3@hweidner.de>
On Fri, 26 Jan 2018 22:28:09 +0100, Harald Weidner
<hweidner-lists@gmx.net> wrote:
>On Fri, Jan 26, 2018 at 04:00:30PM +0100, Marc Haber wrote:
>> >Die Share-Buttons sind im Wesentlichen von den Anbieterseiten geladene
>> >Bilder. In der Standardeinstellung wird beim Abruf dieser Bilder mein
>> >ggf. vorhandenes Login-Cookie an den Anbieter übertragen. Das verhindere
>> >ich mit der Einstellung, keine Drittanbieter-Cookies zuzulassen.
>>
>> Und wenn der Button von facebook.com nachgeladen wird?
>
>Wenn eine Webseite foo.org eine Grafik von einer anderen Webseite bar.com
>einbindet, dann gibt es in Firefox bei der Einstellung "Cookies von
>Drittanbietern akzeptieren" drei Möglichkeiten:
>
>- Immer (Default):
> Hier werden beim Laden der Grafik von bar.com deren Cookies akzeptiert
> und bereits vorhandene beim Request dorthin zurückgeschickt.
>
>- Nur von besuchten Drittanbietern:
> Cookies von bar.com werden nur dann akzeptiert und ggf. vorhandene
> hingeschickt, wenn ich die Seite bar.com vorher schonmal direkt besucht
> habe.
>
>- Nie:
> Beim Abruf der Grafik werden keine Cookies von bar.com akzeptiert oder
> übertragen.
>
>Mit der dritten Einstellung bekommen Facebook und Co. also keinen Zugriff
>auf ein vorhandenes Session-Cookie, selbst wenn die Grafik von dort geladen
>wird.
Und das ist der gewünschte Effekt?
>Das hindert diese Anbieter allerdings nicht daran, mit anderen Heuristiken
>wie IP-Adresse, Browserstring, Canvas-Fingerprinting etc. trotzdem einen
>Rückschluss auf den eingeloggten Benutzer zu ziehen.
Ja, ich fürchte das wird sich nicht verhindern lassen.
Gibt es denn Deiner Einschätzung nach einen sigifikanten Unterschied
zwischen
- Gleicher Account, unterschiedliches Firefox-Profil
- Anderer Account auf gleicher Maschine
- Anderer Account auf anderer Maschine
wenn die verwendeten Maschinen auf dieselbe IPv4 genattet werden bzw.
IPv6-Adressen aus demselben /64 kommen?
Das Tracken der besuchten Webseiten eines Opfers funktioniert über die
Cookies, die beim Nachladen der Like-Buttons übermittelt werden und
lässt sich somit schon durch "Gleicher Account, unterschiedliches
Firefox-Profil" ausbremsen, wenn auf dem "normalen" Firefox-Profil
fürs "reguläre Surfen" keine Cookies von facebook, twitter etc
zugelassen werden? Gibt es eine Möglichkeit, cookies von facebook und
twitter grundsätzlich abzulehnen, also domainabhängige
Cookie-Policies?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: