Как этот веб-сайт может идентифицировать меня даже после удаления всей истории моего браузера и использования VPN?

222

Веб-сайт dropmail.me может успешно идентифицировать меня (и предлагать мои последние использованные временные почтовые адреса через «Восстановить доступ»), несмотря на следующие действия:

  • Удалить всю мою историю браузеров, которая включает в себя кеш, куки, настройки веб-сайта, историю загрузок, историю поиска, историю браузера и активные входы в систему. В основном все, что можно удалить через меню Firefox. Я использую Firefox 52 ESR.
  • Использовать VPN (который в соответствии с их требованиями защищен от утечки IPv6 и DNS), который я не использовал, когда посещал этот сайт ранее.
  • Использование uBlock Origin и uMatrix

Дополнительная информация:

  • Моя «личность» должна как-то быть привязана к моему текущему профилю браузера. Когда я использую другой браузер или новый профиль браузера, веб-сайт не идентифицирует меня как одного и того же человека. На самом деле, достаточно использовать дополнение Firefox Priv8 и создать новую песочницу, чтобы идентифицировать себя как другого человека. Это может указывать на то, что для Firefox существует некое хранилище для веб-сайтов, доступ к которым невозможно получить или удалить. (Это не Flash-куки, сайт не использует Flash!)
  • (Обновление) Другие браузеры не затрагиваются. Microsoft Edge после удаления истории браузера не разрешает повторную идентификацию. Это проблема только Firefox!

Мои вопросы:

  • Как же они могут меня опознать? Поскольку их единственная мотивация для повторной идентификации меня заключается в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо «темные» методы, такие как дактилоскопия, но, конечно, это нельзя исключать.
  • Как я могу защитить от такого рода «супер-слежения», используемого этим сайтом?
Мануэл
источник
6
Используйте режим инкогнито при посещении. Chrome и IE есть, я уверен, что Firefox тоже.
Appleoddity
5
@Appleoddity: Да, режим инкогнито помогает, но, насколько я понимаю, это просто мешает веб-сайтам хранить или читать историю браузера и т. Д. Поэтому, когда я удаляю все, это должно иметь тот же эффект, но это не так. Может быть, ошибка в Firefox?
Мануэль
22
Я сильно подозреваю, что зло, которое когда- либо было
Премьер
2
@ Прайм, в данном случае это не так. Мануэль прав: «Поскольку их единственная мотивация для повторной идентификации меня состоит в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-то« темные »приемы» и заглядывают в код, который вы увидите, что они просто используют стандартные веб-технологии. Firefox виноват здесь, в этом конкретном случае.
Арджан
9
Даже очистка всего не защитит от отпечатков пальцев
o11c

Ответы:

253

Сайт использует IndexedDB, для чего MDN пишет :

IndexedDB - это способ постоянного хранения данных в браузере пользователя. Поскольку он позволяет создавать веб-приложения с широкими возможностями запросов независимо от доступности сети, ваши приложения могут работать как в сети, так и в автономном режиме.

Не очищать это звучит как ошибка в Firefox действительно, но, видимо, разработчики считают иначе. Как и в марте 2015 года, кто-то написал :

Но даже когда вы удаляете всю свою историю, данные из IndexedDB сохраняются.

Правильный способ удалить эти данные - перейти по about:permissionsадресу, найти домен и нажать Forget About This Siteкнопку.

Хотя about:permissionsв моем Firefox 55 не работает, зайдя в Инструменты, Информация о странице, Разрешения, я получаю кнопку «Очистить хранилище»:

Диалог страницы информации

Хуже того, ни серое «Использовать по умолчанию: всегда спрашивать» в приведенном выше снимке экрана, ни включение «Сообщать вам, когда веб-сайт просит сохранить данные для автономного использования» в настройках «Дополнительно», «Сеть», не имеют никакого эффекта, чтобы избежать хранения :

Расширенные настройки

Похоже, что с августа 2011 года все еще может быть применимо (где я добавил «только»):

По умолчанию в Firefox 4 сайт может использовать до 50 МБ хранилища IndexedDB. [Только] Если он пытается использовать более 50 МБ, Firefox запросит у пользователя разрешение [...]

В Firefox для мобильных устройств (Google Android и Nokia Maemo) Firefox будет [только] запрашивать разрешение, если сайт пытается использовать более 5 МБ [...]

Чтобы отключить его вообще, перейдите к about:configи отключить dom.indexedDB.enabled. Однако следует помнить, что это может повлиять и на плагины / надстройки, поэтому некоторые, возможно, хотят удалить эту опцию, о которой кто-то заметил в мае 2016 года :

До тех пор, пока IndexedDB не будет обрабатываться так же, как и cookie, в отношении принятия / очистки и поведения третьих сторон, этот преф должен существовать.

(Тоже может быть dom.storage.enabledинтересно ...)

Арьян
источник
153
На самом деле. Ух ты. Это большое дело. Я не знал, что в браузере есть такая лазейка, которая "одержима защитой вашей конфиденциальности" .
Мануэль
23
Отключение даже нарушает упомянутый ранее веб-сайт и, возможно, другие веб-сайты. Будем надеяться, что Мозилла еще раз посмотрит на это. Одним из решений может быть удаление этого хранилища после того, как я закрою свой браузер и только выбранный сайт, которому я доверяю, может иметь свое постоянное хранилище. (так я сейчас обращаюсь с печеньем)
Мануэль
28
См. Также bugzilla.mozilla.org/show_bug.cgi?id=1047098
Боб,
10
Немецкие
StanE
27
Всегда было глубоко глупо, что Mozilla трактует IndexedDB иначе, чем куки. Это все еще явно вид печенья. Протокол другой, но если я хочу заблокировать или удалить все файлы cookie, мне плевать на протокол. К сожалению, практика Mozilla всегда заключается в том, чтобы «добавлять функции сейчас, разобраться с последствиями для конфиденциальности лет спустя, если вообще когда-либо». @manuel Попробуй поближе познакомиться с: config через некоторое время. В Firefox действительно много страшных вещей, включенных по умолчанию. Предполагаемая позиция Mozilla в отношении конфиденциальности - чистый маркетинг и ничего более.
Boann
59

Как отметил Арджан , к сожалению, на данный момент легко оставить установленные данные сайта. Это несколько улучшается с предпочтением редизайна UX в FF57.

Например, в разделе «Конфиденциальность и безопасность» теперь есть раздел «Данные сайта»:

Переработано меню конфиденциальности и безопасности в Firefox 57

Нажав на «Настройки» данных сайта, вы сможете удалить данные сайта для определенного источника:

Настройки - Данные сайта

Это удалит данные, хранящиеся в IDB, Cache API и т. Д. Также удалит файлы cookie для источника:

Удаление данных сайта для определенного сайта

(Извините, что не сделал этот комментарий под ответом Арджана , но я хотел включить эти скриншоты.)

Отказ от ответственности: я сотрудник Mozilla

Бен Келли
источник
4
Любая идея, если вы также планируете фактически запросить у пользователя разрешение на сохранение данных для начала, даже если это всего лишь один бит? (Я где-то читал, что для сторонних сайтов настройка «разрешать сторонние файлы cookie» также применима к IndexedDB, но я не проверял это.) Параметр «Автономный веб-контент и данные пользователя» весьма обманчив, Я чувствую, как это, видимо, не относится к IndexedDB.
Арджан
Мой комментарий по поводу комментария "не все для этого источника" был неверным. Это действительно удаляет куки. Я обновлю ответ, чтобы отразить это.
Бен Келли
8
Трудно найти баланс между побуждением, когда это уместно, и побуждением слишком много. Прямо сейчас хранилище основано на идее, что сайты могут использовать хранилище без запроса, но браузер может удалить его под давлением. Если сайту требуется постоянное хранилище, ему нужна подсказка. API хранилища отключаются в сторонних фреймах, когда сторонние куки отключены. В будущем мы можем перейти к «двойному ключу» источника на основе источника окна верхнего уровня (как это сделал safari), что дополнительно изолирует хранилище. В FF это называется «изоляция от первой стороны» и происходит от проекта TOR.
Бен Келли
7
@Ben Kelly. Он по-прежнему не охватывает сценарий использования: «разрешить каждому веб-сайту хранить все для сохранения функциональности, но автоматически удалять хранилище при выходе из браузера». Приватный просмотр также не является хорошим решением, поскольку он вообще ничего не хранит (возможно, я все еще хочу сохранить историю браузера или хранилище для сайтов, которым я действительно доверяю. И нет, я не хочу все время переключаться между обычным и приватным просмотром .)
Мануэль
19
Вы правы: настройка cookie «удалить при выходе» не относится к таким вещам, как IDB. Я подал ошибку здесь bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Я полагаю, что наши общие разрешения UX также переделаны, но я не уверен, включены ли ограничения хранения, о которых здесь говорится, или нет. Я также подал ошибку для этого: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Мы работаем над улучшением этих функций, но это постепенный процесс. Извините за проблемы.
Бен Келли
5

Изменить: Пожалуйста, прочитайте комментарий Бена Келли, прежде чем возиться с файлами в вашем профиле.


Поскольку внутри Firefox нет решения, можно легко внедрить временное исправление за пределами Firefox. Файлы IndexedDB хранятся в каталоге <profile>/storage/default. Очистив эту папку (например, через запланированный сценарий), вы можете восстановить полный контроль над вашими данными и тем, как долго они сохраняются. Поскольку каждый веб-сайт хранится в отдельной папке, вы можете даже внедрить белый / черный список или, в основном, любую политику, которую хотите, учитывая, что у вас есть некоторый опыт программирования.

Это не хорошее решение и нет оправдания для разработчиков Firefox продолжать откладывать правильное решение для этого. (Отчеты об ошибках существуют уже много лет!)

И имейте в виду, что формат данных и местоположение могут меняться со временем. Например, в предыдущей версии все данные IndexedDB хранились в одном файле SQL.

Мануэл
источник
2
Обратите внимание, что это может повредить ваш профиль для определенных сайтов. Некоторые состояния (например, регистрации сервисных работников) хранятся вне этого каталога. Сайты могут запутаться, если хранилище будет удалено, но регистрация сервисного работника останется. Наш новый UX для удаления «Site Data» поставляется в ноябре и является лучшим решением. Или просто запустить в режиме частного просмотра, который отключает все хранилище.
Бен Келли
1
@BenKelly "... хранятся вне этого каталога." Что это обозначает? Хранится где? Как мы можем удалить эту часть тоже?
John1024
2
Мы не поддерживаем произвольные изменения в каталоге профиля. Если вы начнете удалять материалы вручную, не удивляйтесь, если ваш профиль будет поврежден и сайты не будут работать правильно. Я действительно не рекомендую это. Некоторые из вопросов, поднятых первоначальным вопросом здесь, исправляются, пока мы говорим. Кроме того, частный просмотр, контейнеры и т. Д. Были упомянуты в качестве немедленного решения. Пожалуйста, не изменяйте свой профиль вручную.
Бен Келли