Welche Daten gibst du preis?

Was passiert hier? JavaScript liest Bildschirmgrösse, Farbtiefe, CPU-Kerne, RAM, Pixel Ratio und vieles mehr aus. Die verfügbare Bildschirmhöhe (screen.availHeight) verrät die Taskbar-Höhe und damit dein OS. Fensterposition (screenX/Y) zeigt, ob du mehrere Monitore hast. Sogar deine System-Präferenzen wie Dark Mode, reduzierte Bewegung oder hoher Kontrast sind sichtbar. Einzeln harmlos – kombiniert ein einzigartiger Fingerabdruck.

Was passiert hier? Die Network Information API verrät deinen Verbindungstyp (4G, WiFi), Geschwindigkeit und Latenz. Damit wird erkannt, ob du im Büro oder unterwegs bist. SaveData zeigt, ob du Daten sparen willst – Hinweis auf begrenztes Volumen.

Was passiert hier? Falls du die Erlaubnis gibst, liest die Website deinen exakten GPS-Standort – oft auf wenige Meter genau. Dazu Höhe, Geschwindigkeit und Richtung. Per Reverse Geocoding wird daraus eine lesbare Adresse. ✅ Gute Nachricht: Dein Browser fragt vorher. Aber viele klicken reflexartig auf «Erlauben». Der blaue Kreis auf der Karte zeigt den Genauigkeitsradius.

Was passiert hier? Die hinterhältigste Tracking-Methode – drei Varianten:

1. Canvas Fingerprint: Ein unsichtbares 2D-Bild wird gezeichnet. Jede GPU/OS/Schriftart-Kombination rendert minimal anders → einzigartiger Hash.
2. WebGL Fingerprint: Ein 3D-Objekt wird gerendert – der Pixel-Output hängt von deiner GPU ab.
3. Audio Fingerprint: Ein unhörbarer Ton wird generiert. Die Audio-Verarbeitung ist auf jedem Gerät anders.

All das passiert ohne Cookies, ohne Erlaubnis. Der Combined Fingerprint unten kombiniert alle drei.

Was passiert hier? Jede Website kann dein komplettes Verhalten live aufzeichnen. Tools wie Hotjar, FullStory und Mouseflow tun das millionenfach.

Mausbewegungen sind biometrisch fast einzigartig: Geschwindigkeit, Kurvenradien, Zögern vor Klicks. Keystroke Dynamics misst die Intervalle zwischen Tastenanschlägen – damit kann eine Person identifiziert werden. Scroll-Verhalten zeigt, was dich interessiert. Die Idle Detection API erkennt sogar, ob du gerade aktiv bist oder AFK.

⚠ Bewege deine Maus und beobachte den Tracker!

Was passiert hier? Die Permissions API zeigt Websites, welche Berechtigungen du bereits erteilt oder blockiert hast – Kamera, Mikrofon, Standort, Benachrichtigungen etc. Das ist ein Tracking-Signal: Wer Notifications erlaubt hat, verhält sich anders als wer alles blockiert. ● Grün = erlaubt, ● Rot = blockiert, ● Gelb = noch nie gefragt.

Was passiert hier? Dein Akkustand ist ein Tracking-Vektor: «37%, ladend» ist relativ einzigartig. Bewegungssensoren verraten, ob du dein Handy hältst. Ambient Light zeigt, ob du drinnen oder draussen bist. Die installierten Schriften sind einer der stärksten Fingerprint-Faktoren – hier testen wir 25 Schriften, echte Tracker testen Hunderte.

Was passiert hier? WebGL verrät GPU-Modell, Hersteller, Texturgrössen und Extensions. WebRTC ist besonders tückisch: Es kann deine echte lokale IP-Adresse leaken – sogar hinter einem VPN! Schau unten, ob deine lokale IP sichtbar ist. Jede unterstützte API (Service Worker, WebAssembly, Crypto etc.) ergibt ein weiteres Unterscheidungsmerkmal.

Was passiert hier? navigator.plugins listet Browser-Plugins auf. CSS Feature Detection prüft, welche CSS-Eigenschaften dein Browser kennt – unterscheidet sich pro Version. APIs wie Bluetooth, USB, Serial, HID, NFC verraten, ob dein Browser Hardware-Zugriff unterstützt. Die Idle Detection API kann erkennen, ob du gerade am Rechner sitzt oder weg bist. Die File System Access API zeigt, ob der Browser direkten Dateizugriff erlaubt.

Was passiert hier? Die Performance API misst DNS, TCP, TLS, TTFB und Gesamtladezeit. Die JS Heap Size verrät, wie viel Arbeitsspeicher der Browser nutzt. All das gibt Rückschlüsse auf dein Gerät und Netzwerk.

Was passiert hier? Die Anzahl der Kameras, Mikrofone und Lautsprecher ist ein starker Fingerprint. USB-Mikrofon + 2 Monitore? Ziemlich einzigartig. Dazu die unterstützten Video-/Audio-Codecs – auch die unterscheiden sich je nach OS und Browser.

Was passiert hier? Sample Rate, Kanalanzahl und Latenz deiner Soundkarte. Die Base Latency ist hardware-abhängig und variiert pro Gerät – ein weiterer Fingerprint-Vektor.

Was passiert hier? Die verfügbaren Text-to-Speech-Stimmen sind einer der unterschätztesten Fingerprint-Vektoren. Ein Mac hat andere Stimmen als Windows, ein deutsches System andere als ein englisches. Die genaue Liste verrät dein OS, deine Sprache und installierte Sprachpakete.

Was passiert hier? Die Taskbar-Höhe (screen.height minus availHeight) verrät dein Betriebssystem. window.screenX/Y zeigt, ob du mehrere Monitore hast. Zoom-Level und Viewport-Grösse verraten, ob du Entwicklertools oder Lesezeichen-Leisten geöffnet hast.

Was passiert hier? Die Storage API verrät deinen verfügbaren Speicherplatz – Rückschlüsse auf Festplattengrösse. Die Anzahl der IndexedDB-Datenbanken zeigt, welche Web-Apps du nutzt. Persistent Storage zeigt, ob der Browser deine Daten dauerhaft behalten darf.

Was passiert hier? maxTouchPoints verrät deinen Gerätetyp. Pointer: fine/coarse unterscheidet Maus von Touchscreen. Die Gamepad API erkennt angeschlossene Controller mit genauem Modellnamen – ein seltenes Feature, das dich sehr identifizierbar macht. Die Keyboard Layout API kann dein Tastaturlayout erkennen.

Was passiert hier? Moderne Browser haben APIs für VR (WebXR), Bluetooth, USB, NFC, Serial-Ports und sogar Barcode/Gesichtserkennung. Allein ob diese APIs existieren, ist ein Fingerprint-Faktor. Die Eye Dropper API (Farbpipette) und die Screen Capture API verraten weitere Browser-Fähigkeiten.

🔗 ETag / Cache Tracking (LIVE-DEMO)

Der Server hat dir gerade einen ETag-Header geschickt – eine Art unsichtbare ID. Wenn du diese Seite das nächste Mal lädst, schickt dein Browser diesen ETag automatisch zurück. Der Server erkennt dich damit wieder – auch wenn du alle Cookies gelöscht hast!

Klicke den Button, um zu testen ob der Server dich über ETag wiedererkennt:

🔗 Tracking Pixel (LIVE-DEMO)

Unten ist ein echtes 1×1 Pixel Bild eingebettet – genau wie in E-Mails und auf Websites. Beim Laden kontaktiert es den Server, der dabei automatisch deine IP, User-Agent, Sprache und Zeitpunkt erfährt. In E-Mails verrät das, ob und wann du eine Nachricht geöffnet hast.

⚠ Das Pixel wurde bereits geladen – der Server hat dich gesehen:

🔗 Login Fingerprinting (LIVE-DEMO)

Websites können prüfen, ob du bei grossen Diensten eingeloggt bist, indem sie versuchen, nutzerspezifische Ressourcen zu laden (z.B. dein Profilbild). Wenn das Bild lädt = eingeloggt. Wenn nicht = ausgeloggt.

Hinweis: Moderne Browser blockieren das zunehmend (SameSite Cookies, Partitioning). Aber ältere Browser und manche Dienste sind noch anfällig:

🔗 CSS :visited Leak (KONZEPT-DEMO)

Dein Browser färbt bereits besuchte Links anders ein. Früher konnte JavaScript diese Farbe auslesen und damit deine gesamte Browser-History abfragen. Moderne Browser haben das gepatcht, aber Timing-Angriffe sind teilweise noch möglich. Unten siehst du die Links – prüfe selbst, welche du besucht hast:

Diese Techniken brauchen zusätzliche Infrastruktur und können hier nicht live gezeigt werden:

🔗 TLS/JA3 Fingerprint: Dein TLS-Handshake hat einen eindeutigen Hash. Passiert auf Netzwerk-Ebene – kein JavaScript nötig. Bräuchte einen TLS-Termination-Proxy (z.B. Cloudflare Worker). CDN-Anbieter wie Cloudflare nutzen das aktiv.

🔗 HSTS Supercookies: Braucht mehrere Subdomains (z.B. bit0.c47.ch, bit1.c47.ch, …). Der Server setzt HSTS-Einträge als 0/1-Bits → permanente Tracking-ID, nur durch komplettes Browser-Reset löschbar.

🔗 Favicon Supercookies: Braucht ebenfalls Subdomains. Browser cachen Favicons separat – durch Kombination vorhandener/fehlender Favicon-Einträge entsteht ein binäres Tracking-Muster.

🔗 CNAME Cloaking: Braucht DNS-Konfiguration. Tracking-Domains (z.B. analytics.facebook.com) werden als CNAME auf deine First-Party-Domain gemappt → Ad-Blocker sehen nur deine eigene Domain.