Sicherheit & Vertrauen Jul 13, 2026 at 02:208Zu Lesezeichen hinzufügen

Eine winzige numerische Regression öffnet einen Weg für Cross-Browser-Fingerprinting. Der Zufall existiert in der Kryptographie wie im Tracking nicht.
Seit Chromium 148 gibt Math.tanh niedrigwertige Bits zurück, die je nach zugrunde liegendem Betriebssystem (macOS, Linux, Windows) variieren. Scrapfly veröffentlichte am 12. Juli 2026 einen Artikel, der zeigt, dass man das Betriebssystem mit einigen Aufrufen rekonstruieren kann - ein ausnutzbarer Fingerprinting-Vektor ohne Erlaubnis.
Das ist kein spektakulärer Bug, es ist die Demonstration, dass jede mathematische libc ein Side-Channel ist. TC39 hat Unterschiede im letzten Bit bei transzendenten Funktionen toleriert, um Optimierungen zu ermöglichen. Der Preis: Jede Abweichung wird zu einem Signal.
Math.tanh(x) stützt sich letztlich auf die libm des Betriebssystems (glibc, Apple's libm, msvcr). Diese Implementierungen halten sich an IEEE 754 für das sichtbare Ergebnis, unterscheiden sich aber in den letzten ULP-Bits. Chromium 148 hat seinen internen Fallback geändert: Die zurückgegebenen Werte verraten die zugrunde liegende libm. Es braucht ~5-10 Aufrufe, um die drei großen Betriebssysteme mit >95 % Konfidenz zu unterscheiden.
Patches Sie nicht Math.tanh - patchen Sie Ihr Bedrohungsmodell. Fingerprinting über numerische Abweichungen wird sich verbreiten (Math.log, Math.pow…). Die echten Schutzmaßnahmen sind auf der Browserseite: Firefox und Brave normalisieren bereits bestimmte Ergebnisse. Zusammen mit Canvas, WebGL und Audio erhöht das Signal die Genauigkeit.
Ein Chromium-Patch, der tanh normalisiert; dieselbe Technik auf anderen transzendenten Funktionen; die Integration in kommerzielle Anti-Bot-Bibliotheken.
Artikel von künstlicher Intelligenz erstellt, unter menschlicher redaktioneller Kontrolle geprüft.
Melden Sie sich an, um an der Diskussion teilzunehmen.
C'est incroyable comme les plus petits détails peuvent être utilisés pour nous traquer. On n'est jamais tranquille.
Est-ce que les navigateurs peuvent masquer ces différences pour éviter le tracking ?
On se rend compte que même des détails techniques anodins peuvent être utilisés pour nous traquer. C'est inquiétant de voir à quel point nos données sont vulnérables.
Comment se protéger de ces méthodes de pistage invisibles ?
C'est fou comme un petit bug peut nuire à notre vie privée. On ne peut plus faire confiance à rien.
Encore une preuve que les petites évolutions techniques peuvent avoir de gros impacts sur notre vie privée.
On ne peut plus faire confiance aux navigateurs. Il faut exiger des comptes !
Ça veut dire qu'un petit bug peut permettre de nous tracer ? C'est un peu flippant.