Favicons als "Super-Cookies"

So neu ist die gar nicht. Nutzen schon viele Tools, um z.B. Browser zu erkennen, wenn der andere Footprint zu gering ist. Viele alte rufen das Favicon z.B. aus dem Root ab domain/favicon.ico und nutzen nicht die Meta-Anweisung, wo vielleicht steht /bilder/icons/icon-1.ico. Adblock-Detektoren arbeiten ja ähnlich. Der Vorteil beim Icon ist nur, dass die halt sehr lange gespeichert werden.

Ja, stimmt. Sagte nur, es ist nicht so neu. Das ist nun eigentlich nur eine erweiterte Version. Wobei man den heise-Artikel vergessen kann, der sagt nämlich nicht, wie es geht. Dazu muss man den verlinkten englischen lesen. Verhindern lässt es sich im Grunde auch ganz einfach: Den Cache löschen oder eben per Blocker den Abruf von den .ico verhindern.

Im Grunde ist das Binär-Code. Also man bekommt ein normales favicon von der eigentlichen Webseite. Wird das abgerufen, dann ist es ein Erstzugriff oder so zu werten. Browser mit dem Icon im Cache fragen es in der Regel nicht neu an.

Ist es ein Erstzugriff, dann schickt man weitere Icons hinterher, von sub1.domain, sub2.domain, sub3.domain usw. Je mehr Subs, desto mehr Daten können quasi binär gespeichert werden.

Es wird also keine ID gespeichert, wie bisher, sondern alles ist 0100100100011100010. Jede Ziffer ist eine Sub. Im Grunde werden gar keine Werte gespeichert, sondern eben nur die Bilder.

Und das ganze funktioniert dann halt so, dass das System beim Erstzugriff eine Liste bearbeiter Subs ausliefert. 1, 5, 8, 15 fehlerfrei, die anderen einen 404. Mit dem 404 wird der Browsercache umgangen.

Kommt man dann wieder auf die Seite, dann merkt das System, dass das eigentliche Haupticon schon da ist, also Zweitzugriff. Jetzt wartet es dann darauf, was der Browser neu anfordert und was nicht. Neu anfordern wird er die, die vorher den 404 brauchten, denn die 1, 5, 8, 15 sind im Cache. Also weiß das System, welche Icons da waren und hat damit den Binärcode. Die neu angeforderten, die werden wieder als 404 ausgeliefert, also muss er beim Drittzugriff wieder anfordern. Nur für eine ID braucht es halt verdammt viele Subs, damit die halbwegs eindeutig ist und viele Subs brauchen viel Zeit.

Alleine für die ID 1234, also binär 10011010010, bräuchte es also 10 Subs und eben noch weitere, sonst wären ja alle gleich. Es müssen ja auch fehlerhafte dabei sein. Für 4321 eben 1000011100001, also 13 Subs + weitere.

Funktioniert auch mit ganz normalen Bildern oder allen anderen Daten, die im Cache landen, nur die haben in der Regel einen geringeren Zeitverlauf im Cache. Icons liegen da oft Jahre und der Browser fordert sie unaufgefordert an.

Im Grund kann man das vergleichen mit den Fragen in Jugendzeitschriften als "Welcher Typ bin ich". Also wo Fragen gestellt werden und man ankreuzen muss. Je nachdem, was man ankreuzt, kommt das Ergebnis. Kreuzt man 2 Jahre das Gleiche wieder an, dann ist man quasi die gleiche Person. Und es wird umso genauer, je mehr Fragen ist gibt, also 0 und 1.

GIbt es 10 Fragen und Du sagst bei 5 "ja", dann ist die Wahrscheinlichkeit hoch, dass viele andere Leute die gleichen 5 mit "ja" beantworten. Sind es aber 1000, wo 5 mit "ja" angekreuzt werden, dann ist sehr viel unwahrscheinlicher.

Zitat von cura

Naja, ich finde es schon ganz gut, wenn nicht immer gleich auch noch erklärt wird wie es geht.

Für einen wie Heise finde ich das nicht gut, denn sie verlinken es ja dennoch, machen nur mehr Arbeit, weil man die englische Quelle lesen muss. Das was heise da also schreibt ist wie jede andere Tageszeitung, der und die haben gesagt, ohne genau zu sagen, was die eigentlich sagten. Für eine Tech-Zeitschrift nicht sonderlich gut.

Das was Lunte geschrieben hatte, mit dem Dateipfad, das stammt auch von heise bzw. wird es dort auch erwähnt. Da hätte ich nun erwartet, dass sie es aus Sicherheitsgründen nicht tun, aber das haben sie genau so geschrieben, also wie es geht, mit dem sinngemäßen Zusatz "bitte nicht ausführen".