WordPress 4.2 und Browser Fingerprinting?

secret-kl Seit WordPress 4.2 gibt es ein seltsames Phänomen dem ich am Wochenende mal nachgegangen bin. 

Viele meiner Besucher benutzen lobenswerterweise den TOR Browser und einer davon gab mir vor ein paar Tagen einen Tipp. Auf meiner Seite sprang TOR plötzlich an und warnte vor einem Canvas Element das die Identität des Besuchers offenlegen kann. TOR bietet dann an dieses Element einmalig oder generell zu blocken. Bei wordpress 4.1 war die Welt noch in Ordnung. 

Anfangs hielt ich es erst für etwas was von einem Werbebanner kommt, aber wenn ich mich via TOR bei mir einloggte dann war das auch noch da und für eingeloggte User wird keine Werbung gezeigt. Dieses Verhalten scheint es erst seit WordPress 4.2 zu geben und eine Analyse ergab das es sich tatsächlich um Canvas Fingerprinting handeln könnte. Der Code steckt in der wp-includes/formatting.php  und wird für den Emoji Support benutzt. Und hier ist der "Übeltäter". 

window._wpemojiSettings = {"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/72x72\/","ext":".png","source":{"concatemoji":"https:\/\/mywebstite.com\/wp-includes\/js\/wp-emoji-release.min.js?ver=4.2"}};
!function(a,b,c){function d(a){var c=b.createElement("canvas"),d=c.getContext&&c.getContext("2d");return d&&d.fillText?(d.textBaseline="top",d.font="600 32px Arial","flag"===a?(d.fillText(String.fromCharCode(55356,56812,55356,56807),0,0),c.toDataURL().length>3e3):(d.fillText(String.fromCharCode(55357,56835),0,0),0!==d.getImageData(16,16,1,1).data[0])):!1}function e(a){var c=b.createElement("script");c.src=a,c.type="text/javascript",b.getElementsByTagName("head")[0].appendChild(c)}var f;c.supports={simple:d("simple"),flag:d("flag")},c.supports.simple&&c.supports.flag||(f=c.source||{},f.concatemoji?e(f.concatemoji):f.wpemoji&&f.twemoji&&(e(f.twemoji),e(f.wpemoji)))}(window,document,window._wpemojiSettings);

Darin ist zunächst mal nichts verdächtiges zu erkennen. Der Code sorgt nur dafür das auch ältere Browser den Emoji Support erhalten. Ich vertraue dem WordPress Team auch genug das das ich davon ausgehe das sie eben nicht alle ihre Installationen ausspionieren wollen, allerdings hat der Tor Browser auch recht. So ein Canvas Element kann tatsächlich für ein User Tracking via Browser Fingerprinting benutzt werden. Und damit ist es für Seiten mit sensiblem Content ein Sicherheitsrisiko. Allerdings gehen in den Foren zu dem Thema die Meinungen zum Risiko dieses Elements stark auseinander. Ich jedenfalls will sowas nicht auf meiner Seite. 

Es gibt zwei Wege den Canvas loszuwerden: Man kann den Code natürlich manuell ausbauen, hat dann aber das Problem das der mit dem nächsten Update wahrscheinlich wieder drin ist. Eleganter geht es über das Plugin Disable Emojis das diese Arbeit übernimmt. Installieren und aktivieren und das seltsame Element ist weg. Die Emojis funktionieren immer noch in aktuellen Browsern die den Emoji Support eingebaut haben. 

Hier ist der Link zu diesem Plugin, ich hab es auf allen Seiten laufen: 

Disable Emojis [de.wordpress.org]

(Visited 92 times, 1 visits today)
Facebooktwittergoogle_plusredditpinterestlinkedinmail

1 Gedanke zu “WordPress 4.2 und Browser Fingerprinting?

Schreibe einen Kommentar

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden. Damit diese Seite funktioniert ist es notwendig kleine Dateien (genannt Cookies) auf deinem Computer zu speichern. Zudem erhöhen die Cookies den Bedienungskomfort für dich. Google selbst verwendet Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unserer Website zu analysieren. Außerdem gibt Google Informationen zur Nutzung unserer Website an dessen Partner für soziale Medien, Werbung und Analysen weiter. Die geschieht über die eingeblendeten Werbebanner. Wenn du diese Seite benutzt stimmst du der Nutzung von Cookies zu. Über Ihre Browsereinstellungen kannst du entscheiden ob Cookies angenommen werden oder nicht. Auch kannst du Cookies jederzeit und auch gezielt über den Browser löschen. Due kannst den Browser auch so konfigurieren das beim Schliessen alle Cookies automatisch gelöscht werden. Weit über 90% aller Webseiten setzen Cookies. Jedoch werden wir seit dem 26. Mai 2012 per EU Datenschutz Regelung dazu aufgefordert zuerst deine Zustimmung einzuholen.

Schließen