Übersicht
Analyse vorhandener Tools und Ansätze für Anti-Fingerprinting und Datenschutz.
Tools
Tor Browser
Ansatz: Modifizierter Firefox mit normalisierten Fingerprinting-Oberflächen.
Was er tut:
- Alle Benutzer erscheinen identisch (gleiche Canvas-Ausgabe, gleiche Schriften, gleiche Bildschirmgröße)
- Blockiert WebGL-, Canvas-, AudioContext-Fingerprinting
- Normalisiert Zeitzone auf UTC
- Normalisiert Sprache auf en-US
- Begrenzt gemeldete CPU-Kerne
- Deaktiviert WebRTC
- Deaktiviert performance.now() mit hoher Präzision
- Rundet Bildschirmabmessungen auf Vielfache von 200px
Vorteile:
- Effektivste Anti-Fingerprinting-Lösung
- Kostenlos und Open Source
Nachteile:
- Sehr langsam (Tor-Routing + Software-Rendering)
- Viele Websites brechen (WebGL, Canvas-Blockierung)
- Manche Websites erkennen Tor-Exit-Knoten und blockieren sie
- Keine Netzwerkebenen-Lösung
Brave Browser
Ansatz: Chromium mit integrierten Fingerprinting-Schutzmaßnahmen.
Was er tut:
- "Streng"-Modus: injiziert Rauschen in Fingerprinting-APIs
- Farbling (Rausch-Injektion) bei Canvas/Audio/Schriften
- Blockiert Third-Party-Tracker standardmäßig
- Randomisiert Fingerprints pro Sitzung
Vorteile:
- Gute Leistung
- Moderne Browser-Kompatibilität
- Pro-Sitzungs-Randomisierung verhindert Langzeit-Tracking
Nachteile:
- Immer noch innerhalb des Browsers – erkennbar
- Weniger effektiv als Tor Browser
- Erfordert die Verwendung von Brave
Firefox Enhanced Tracking Protection / resistFingerprinting
Ansatz: Integrierte Fingerprinting-Schutzmaßnahmen.
Was es tut:
privacy.resistFingerprinting = true- Ähnlich wie Tor Browser, aber weniger aggressiv
- Rundet Zeitzone, Bildschirm, schränkt APIs ein
Vorteile:
- Einfach zu aktivieren
- Keine Leistungseinbußen bei den meisten Funktionen
Nachteile:
- Weniger umfassend als Tor Browser
- Manche Websites erkennen weiterhin Fingerprint-Unterschiede
- Nicht auf Netzwerkebene
CanvasBlocker (Firefox-Erweiterung)
Ansatz: Randomisiert Canvas-Ausgabe.
Was es tut:
- Randomisiert Canvas-Pixeldaten vor Rückgabe an Skripte
- Blockiert
WEBGL_debug_renderer_info - Kann AudioContext blockieren
Vorteile:
- Leichtgewichtig
- Konfigurierbar
Nachteile:
- Erweiterung kann erkannt werden
- Randomisierung pro Sitzung kann durch Vergleich sequenzieller Lesevorgänge erkannt werden
- Nur Firefox
AdGuard Home
Ansatz: DNS-basierte Werbe-/Tracker-Blockierung.
Was es tut:
- DNS-Sinkhole für bekannte Tracking-/Werbe-Domains
- DHCP-Server
- Blocklisten-Verwaltung
- Weboberfläche (TypeScript + CSS)
Vorteile:
- Netzwerkweit (deckt alle Geräte ab)
- Ausgereift, gut gewartet
- Containerisiert
Nachteile:
- Nur DNS-Ebene (keine HTTP/HTTPS-Modifikation)
- Kein Fingerprint-Spoofing
- Kein MITM
Pi-hole
Ansatz: Wie AdGuard Home, DNS-Blockierung.
Vorteile:
- Etabliert
- Leichtgewichtig
Nachteile:
- Nur DNS
- Keine JS-Injection
- Keine Header-Modifikation
TLSMask
Ansatz: TLS-ClientHello-Fingerprint-Spoofing.
Was es tut:
- Modifiziert JA3/JA4-Fingerprints, um einen anderen Browser nachzuahmen
- Fungiert als Forward-Proxy
Vorteile:
- Gezielter Ansatz für TLS-Fingerprint
- Funktioniert mit jedem Browser
Nachteile:
- Handhabt nur TLS-Ebene
- Keine HTTP-Modifikation
- Keine JS-Injection
BlueFlame (Tauri/Rust-Browser)
Ansatz: Datenschutzorientierter Browser mit eingebettetem MITM-Proxy.
Was es tut:
- Eingebetteter MITM-Filter-Proxy (EasyList + EasyPrivacy)
- Optionales Tor-Routing via arti
- Tauri/Rust-Desktop-App
Vorteile:
- Obscuras Konzept am nächsten
- Verwendet Rust + Tauri
Nachteile:
- Desktop-App, kein Netzwerk-Gateway
- Noch in früher Entwicklung
Stealth-Guard (Browser-Erweiterung)
Ansatz: Spo oft und randomisiert Fingerprint-Daten.
Was es tut:
- Spo oft User Agent, Bildschirm, Zeitzone, etc.
- Randomisiert Fingerprint pro Sitzung
Vorteile:
- Einfach zu installieren
- Konfigurierbar
Nachteile:
- Browser-Erweiterung (erkennbar, entfernbar)
- Nur clientseitig
Lückenanalyse
| Funktion | Tor | Brave | uBlock | AdGuard | TLSMask | Obscura (Ziel) |
|---|---|---|---|---|---|---|
| Netzwerkweit | Nein | Nein | Nein | Ja | Ja | Ja |
| DNS-Blockierung | Nein | Nein | Nein | Ja | Nein | Ja |
| HTTP-Header-Spoof | Via Proxy | Nein | Nein | Nein | Nein | Ja |
| JS-API-Überschreibung | Ja | Teilweise | Nein | Nein | Nein | Ja |
| Canvas/WebGL-Block | Ja | Teilweise | Nein | Nein | Nein | Teilweise |
| Audio-Block | Ja | Teilweise | Nein | Nein | Nein | Teilweise |
| TLS-Fingerprint | Tor-Exit | Nein | Nein | Nein | Ja | Ja |
| Konfigurierbare Profile | Nein | Nein | Nein | Nein | Nein | Ja |
| Weboberfläche | Nein | Ja | Ja | Ja | Nein | Ja |
| Containerisiert | Nein | Nein | Nein | Ja | Teilweise | Ja |
| Browserübergreifend | Nein | Nein | Ja | Ja | Ja | Ja |
Schlussfolgerungen
- Kein vorhandenes Tool deckt alle Ebenen (DNS + HTTP + JS + TLS) in einem einzigen Gateway ab
- Obscuras Wertversprechen ist netzwerkweiter, mehrschichtiger Schutz
- Die engsten Wettbewerber sind AdGuard Home (netzwerkweit, aber nur DNS) und Tor Browser (umfassend, aber nur Browser)
- Browser-Erweiterungen sind zu eingeschränkt (erkennbar, nicht auf Netzwerkebene)
- Ein containerisiertes Gateway ist das richtige Bereitstellungsmodell