Private Browsing unter der Lupe: Ist es wirklich sicher?

Um die IP-Adresse des Nutzers zu erhalten, muss ein Websitebetreiber nicht auf Java oder Flash zurückgreifen. Sie ist direkt aus der TCP-Verbindung aus Port 80 abzulesen und enthält mehr Informationen als man zunächst annehmen möchte.

Ohne Zugang zu den Daten aus der für die Provider verpflichtenden Vorratsdatenspeicherung kann man zwar keinen Namen und keine Adresse erhalten, jedoch lässt sich meist der ungefähre Wohnort recht genau bestimmen. In Verbindung mit anderen Informationen, etwa der Variablen HTTP_USER_AGENT, kann man einzelne Benutzer recht gut wiedererkennen. Die Variable enthält nicht nur, wie oft angenommen wird, die Version des Browsers, sondern auch detaillierte Information über die Betriebssystemversion und darüber, welches Servicepack von welchem .NET-Framework installiert ist.

Durch die Übermittlung so detaillierter Informationen steigt die Wahrscheinlichkeit, dass es sich bei identischen HTTP-Variablen in Verbindung mit IP-Adressen vom selben Provider aus der gleichen Region um denselben Nutzer handelt.

So erkennt man in Bild 3, dass der Anwender Internet Explorer 8 auf Windows Vista einsetzt. Ferner hat er die .NET-Framework-Versionen 2.0, 3.0 und 3.5 installiert. Man erkennt die exakte Buildnummer. Er setzt ferner OfficeLive 1.3 ohne einen Patch ein.

Aus der Variable HTTP_ACCEPT geht hervor, dass er Excel, Powerpoint, Word, Flash und Silverlight installiert hat. Außerdem befindet sich auf dem Rechner das Windows Presentation Framework 3.5. Diese Konfiguration ist nicht auf immer und ewig konstant, jedoch dürfte sie immerhin eine Zeit lang nützlich sein, um einen Besucher wiederzuerkennen.