navigator.deviceMemory verrät jeder Website Ihren RAM-Bereich — in Gigabyte, als diskretisierter Wert. Nur Chromium-basierte Browser implementieren diese API; Firefox und Safari lehnen sie ab. Das macht Chrome-Nutzer in dieser Hinsicht identifizierbarer als Firefox-Nutzer — ein Datenschutz-Paradoxon. Nach der DSGVO ist dieser Wert ein Bestandteil des Browser-Fingerabdrucks und damit potenziell ein personenbezogenes Datum.
Was gibt die API zurück?
Aus Datenschutzgründen diskretisiert die Spezifikation den tatsächlichen RAM auf wenige feste Werte:
console.log(navigator.deviceMemory);
// Mögliche Werte: 0.25, 0.5, 1, 2, 4, 8
// (in Gigabyte — gerundet nach unten auf die nächste Stufe)
// Beispiele:
// 4 GB RAM → gibt 4 zurück
// 6 GB RAM → gibt 4 zurück
// 8 GB RAM → gibt 8 zurück
// 16 GB RAM → gibt 8 zurück (Maximum)Der Maximalwert ist 8 GB — unabhängig davon, ob ein Gerät 16, 32 oder 64 GB RAM hat. Dies begrenzt die Entropie absichtlich, verhindert aber kein Fingerprinting vollständig.
HTTP Client Hint: Sec-CH-Device-Memory
Chrome sendet die RAM-Information auch als HTTP-Request-Header, wenn der Server sie anfordert:
// Server-seitig (Response-Header):
Accept-CH: Sec-CH-Device-Memory
// Browser sendet dann automatisch (Request-Header):
Sec-CH-Device-Memory: 8Dies ermöglicht serverseitiges Fingerprinting, ohne JavaScript — der Wert ist in jedem HTTP-Request sichtbar, sofern der Server ihn anfordert.
Wie effektiv ist dieses Signal?
| Merkmal | Wert |
|---|---|
| Entropie | ~2–3 Bit |
| Mögliche Werte | 0,25 / 0,5 / 1 / 2 / 4 / 8 GB |
| Nur Chromium | Ja (Firefox/Safari: nicht unterstützt) |
| Überlebt Cookie-Löschung | Ja |
| Via HTTP-Header abrufbar | Ja (Sec-CH-Device-Memory) |
Sicherheitslücke: IndexedDB-Seitenkanal
Eine unter CVE-2026-6770 erfasste Sicherheitslücke zeigte, dass über Timing-Angriffe auf IndexedDB der genaue RAM-Wert eines Geräts ermittelt werden konnte — präziser alsnavigator.deviceMemory ihn preisgibt. Diese Lücke wurde in Firefox 150 und Tor Browser 15.0.10 geschlossen. Chrome-basierte Browser waren ebenfalls betroffen.
DSGVO-Aspekte
navigator.deviceMemory allein identifiziert keine Person. In Kombination mit CPU-Kernen (navigator.hardwareConcurrency), GPU-Renderer-String und Betriebssystem-Version entsteht ein Hardware-Profil, das nach DSGVO-Erwägungsgrund 30 als Online-Kennung gilt. Websites, die diesen Wert zu Tracking-Zwecken verwenden, benötigen eine DSGVO-konforme Rechtsgrundlage.
Schutzmaßnahmen
- Firefox: Gibt
undefinedzurück — die API ist nicht implementiert. Stärkster passiver Schutz. - Safari: Ebenfalls nicht implementiert.
- Brave Browser: Gibt einen zufälligen diskreten Wert zurück (Farbling), der pro Sitzung und Ursprung variiert.
- Chrome mit Strict Site Isolation: Reduziert nicht die API-Entropie, verbessert aber die allgemeine Isolierung zwischen Ursprüngen.
Verwandte Signale
Gerätespeicher-Fingerprinting wird typischerweise zusammen mit CPU-Fingerprinting eingesetzt — beide liefern Hardware-Tier-Informationen. Testen Sie Ihre aktuelle RAM-Exposition mit unserem Fingerprint-Tool.
