Google testet eine neue Funktion zur Verbesserung der Privatsphäre im Inkognito-Modus von Chrome unter Windows – Script blocking in Incognito (PrivacySandboxFingerprintingProtectionEnabled). Diese Funktion blockiert Skripte von Drittanbietern, die Browser-Fingerprinting-Techniken verwenden, um Nutzer auf verschiedenen Websites wiederzuerkennen.
In der aktuellen Version betrifft die Blockierung nicht alle Skripte, sondern nur Domains aus einer speziellen Marked Domain List (MDL). Die Einschränkung greift, wenn ein solches Skript als Drittanbieter-Skript ausgeführt wird und versucht, ohne Genehmigung Daten abzurufen.
Die Technologie zielt darauf ab, den Missbrauch von Web-APIs zu bekämpfen, die es ermöglichen, zusätzliche Informationen über das System zu erhalten – beispielsweise über Canvas, WebGL, Schriftarten oder Audiocodecs. Diese Methoden werden häufig verwendet, um heimlich eine eindeutige Benutzer-ID zu erstellen. Google schlägt vor, die Fetch-Spezifikation so zu ändern, dass Browser über einen Standard-„Haken“ verfügen, um Anfragen nach üblichen Überprüfungen wie CSP oder gemischten Inhalten zu blockieren oder zu ersetzen.
Tests von Windows Latest haben gezeigt, dass beim Besuch einer Website, die beispielsweise ein eingebettetes Skript eines Drittanbieters mit Methoden zur digitalen Identifizierung (Browser-Fingerprints) enthält, ein eindeutiger Benutzer-ID generiert und beispielsweise an ein Werbesystem weitergeleitet werden kann. Diese kann dann mit demselben Skript auf einer anderen Website die Daten abgleichen und den Benutzer ohne Verwendung von Cookies verfolgen. Die neue Funktion im Inkognito-Modus blockiert das Laden eines solchen Skripts und verhindert so die Erstellung einer Kennung.
Ähnliche Lösungen werden bereits von Wettbewerbern eingesetzt: In Safari gibt es Intelligent Tracking Prevention und in Firefox Enhanced Tracking Protection . Microsoft Edge bietet ebenfalls einen integrierten Schutz vor Tracking.
Im Gegensatz zu Firefox und Safari, die Tracking-Skripte auch im normalen Modus blockieren, implementiert Chrome diesen Ansatz derzeit nur im Inkognito-Modus und anhand einer Liste von Domänen. Google hat betont, dass es nicht plant, die Funktion standardmäßig in allen Chromium-basierten Browsern zu aktivieren.
Wenn der Schutz funktioniert, erscheint in der Adressleiste ein „Auge”-Symbol. Der Nutzer kann die Blockierung für eine bestimmte Website deaktivieren oder die Funktion in den Einstellungen vollständig deaktivieren, wenn sie die Arbeit der Website beeinträchtigt.
Auf diese Weise soll die neue Chrome-Technologie das Tracking über Browser-Fingerabdrücke erschweren, aber ihre Wirksamkeit hängt von der Aktualität der MDL-Liste und der Bereitschaft der Nutzer ab, den Inkognito-Modus zu verwenden.
