Jak ta witryna może mnie ponownie zidentyfikować, nawet po usunięciu całej historii mojej przeglądarki i użyciu VPN?

222

Witryna dropmail.me jest w stanie z powodzeniem ponownie mnie zidentyfikować (i zaoferować moje ostatnio używane tymczasowe adresy e-mail za pośrednictwem „Przywróć dostęp”) pomimo wykonania następujących czynności:

  • Usuń całą historię mojej przeglądarki, która obejmuje pamięć podręczną, pliki cookie, ustawienia witryny, historię pobierania, historię wyszukiwania, historię przeglądarki i aktywne logowanie. Zasadniczo wszystko, co można usunąć za pomocą menu Firefox. Używam przeglądarki Firefox 52 ESR.
  • Użyj sieci VPN (która według ich roszczeń jest bezpieczna przed wyciekiem IPv6 i DNS), z której nie korzystałem podczas poprzedniej wizyty na tej stronie.
  • Korzystanie z uBlock Origin i uMatrix

Dodatkowe informacje:

  • Moja „tożsamość” musi w jakiś sposób być powiązana z moim bieżącym profilem przeglądarki. Gdy korzystam z innej przeglądarki lub nowego profilu przeglądarki, witryna nie identyfikuje mnie ponownie jako tej samej osoby. W rzeczywistości wystarczy użyć dodatku Firefox Priv8 i utworzyć nową piaskownicę, aby zidentyfikować ją jako inną osobę. Może to oznaczać, że istnieje pewien rodzaj przestrzeni dyskowej dla stron internetowych, do których nie można uzyskać dostępu ani usunąć go za pomocą przeglądarki Firefox. (To nie są pliki cookie Flash, strona nie używa Flasha!)
  • (Aktualizacja) Nie dotyczy to innych przeglądarek. Microsoft Edge po usunięciu historii przeglądarki nie zezwala na ponowną identyfikację. Jest to problem związany tylko z Firefoksem!

Moje pytania to:

  • Jak, u licha, są w stanie mnie ponownie zidentyfikować? Ponieważ jedyną motywacją do ponownej identyfikacji mnie jest oferowanie dostępu do wcześniej używanych adresów e-mail, nie sądzę, aby używali oni jakichkolwiek „ciemnych” technik, takich jak pobieranie odcisków palców, ale oczywiście nie można tego wykluczyć.
  • Jak mogę chronić się przed tego rodzaju „super-śledzeniem” wykorzystywanym przez tę stronę?
manuel
źródło
6
Podczas wizyty korzystaj z trybu incognito. Chrome i IE mają to, jestem pewien, że Firefox też.
Appleoddity,
5
@Appleoddity: Tak, tryb incognito pomaga, ale o ile rozumiem, po prostu uniemożliwia stronom internetowym przechowywanie lub czytanie historii przeglądarki itp. Więc kiedy usuwam wszystko, powinno to mieć ten sam efekt, ale tak nie jest. Może błąd w Firefoksie?
manuel
22
Podejrzewam, że zło, które jest evercookie
Prime
2
@Prime, w tym przypadku tak nie jest. Manuel ma rację: „Ponieważ jedyną motywacją do ponownej identyfikacji mnie jest oferowanie dostępu do wcześniej używanych adresów e-mail, nie sądzę, że używają oni jakichkolwiek„ ciemnych ”technik” i zaglądają do kodu, który zobaczysz, że po prostu używają standardowych technologia internetowa. Winien jest tutaj Firefox, w tym konkretnym przypadku.
Arjan
9
Nawet wyczyszczenie wszystkiego nadal nie ochroni przed odciskami palców
o11c

Odpowiedzi:

253

Strona korzysta z IndexedDB, dla których MDN pisze :

IndexedDB to sposób na trwałe przechowywanie danych w przeglądarce użytkownika. Ponieważ umożliwia tworzenie aplikacji internetowych z bogatymi możliwościami zapytań niezależnie od dostępności sieci, aplikacje mogą działać zarówno online, jak i offline.

Fakt, że nie został wyczyszczony, w Firefoksie rzeczywiście brzmi jak błąd, ale najwyraźniej programiści uważają inaczej. Podobnie jak w marcu 2015 r., Ktoś napisał :

Ale nawet po usunięciu wszystkich informacji historycznych dane z IndexedDB pozostają trwałe.

Właściwym sposobem na usunięcie tych danych jest przejście do about:permissionsadresu, poszukiwanie domeny i naciśnięcie Forget About This Siteprzycisku.

Chociaż about:permissionsnie działa w moim Firefoksie 55, przechodząc do Narzędzia, Informacje o stronie, Uprawnienia Dostaję przycisk „Wyczyść pamięć”:

Okno Informacje o stronie

Co gorsza, ani wyszarzone „Użyj domyślnie: Zawsze pytaj” na powyższym zrzucie ekranu, ani też włączenie „Informuj, gdy witryna prosi o przechowywanie danych do użycia w trybie offline” w ustawieniach, Zaawansowane, Sieć, nie mają żadnego efektu, aby uniknąć przechowywania :

Zaawansowane ustawienia

Wygląda na to, że od sierpnia 2011 r. Nadal mogą obowiązywać (gdzie dodałem „[tylko]”):

Domyślnie w przeglądarce Firefox 4 witryna może wykorzystywać do 50 MB pamięci IndexedDB. [Tylko] Jeśli spróbuje użyć więcej niż 50 MB, Firefox poprosi użytkownika o pozwolenie [...]

W Firefoksie na urządzenia mobilne (Google Android i Nokia Maemo) Firefox [tylko] poprosi o pozwolenie, jeśli witryna próbuje użyć więcej niż 5 MB [...]

Aby całkowicie go wyłączyć, przejdź do about:configi wyłącz dom.indexedDB.enabled. Uważaj jednak, że takie mogą mieć również wpływ na wtyczki / dodatki, i wydaje się, że niektórzy chcą usunąć tę opcję, o czym ktoś zauważył w maju 2016 r . :

Dopóki IndexedDB nie będzie obsługiwany w taki sam sposób jak pliki cookie w odniesieniu do akceptowania / rozliczania i zachowania stron trzecich, ta preferencja powinna istnieć.

( dom.storage.enabledCiekawe też może być ...)

Arjan
źródło
153
W rzeczy samej. Łał. To wielka sprawa. Nie ma teraz w przeglądarce takiej luki, która ma obsesję na punkcie ochrony twojej prywatności” .
manuel
23
Wyłączenie go powoduje nawet uszkodzenie wspomnianej wcześniej strony i prawdopodobnie także innych stron internetowych. Miejmy nadzieję, że Mozilla przyjrzy się temu jeszcze raz. Jednym z rozwiązań może być usunięcie tego magazynu po zamknięciu przeglądarki i tylko wybrana witryna, której ufam, może mieć stałe miejsce do przechowywania. (w ten sposób obecnie obsługuję pliki cookie)
manuel
10
Niemieckie media wspominają o tym temacie: heise.de/-3835084
StanE
27
Zawsze głupie było to, że Mozilla traktuje IndexedDB inaczej niż pliki cookie. To wciąż rażąco rodzaj ciasteczka. Protokół jest inny, ale oczywiście jeśli chcę zablokować lub usunąć wszystkie pliki cookie, nie dbam o protokół. Niestety praktyką Mozilli jest zawsze „dodawanie funkcji teraz, rozwiązywanie implikacji prywatności za lata, jeśli w ogóle”. @manuel Spróbuj przebrnąć przez około: config jakiś czas. W przeglądarce Firefox jest naprawdę dużo strasznych rzeczy, które są domyślnie włączone. Rzekoma postawa Mozilli w zakresie ochrony prywatności to czysty marketing i nic więcej.
Boann,
59

Jak zauważył Arjan , niestety łatwo jest zostawić zainstalowane dane strony. Poprawia się to nieco dzięki zmianie preferencji UX w FF57.

Na przykład w sekcji „Prywatność i bezpieczeństwo” znajduje się teraz sekcja „Dane witryny”:

Przeprojektowane menu Prywatność i bezpieczeństwo w przeglądarce Firefox 57

Kliknięcie „ustawień” danych witryny pozwoli Ci usunąć dane witryny dla określonego źródła:

Ustawienia - Dane witryny

Spowoduje to usunięcie danych przechowywanych w IDB, Cache API itp. Usunie również pliki cookie dotyczące pochodzenia:

Usuwanie danych witryny dla określonej witryny

(Przepraszam, że nie skomentowałem tego pod odpowiedzią Arjana , ale chciałem dołączyć te zrzuty ekranu).

Oświadczenie: Jestem pracownikiem Mozilli

Ben Kelly
źródło
4
Masz pomysł, jeśli planujesz również poprosić użytkownika o pozwolenie na przechowywanie danych na początek, nawet jeśli jest to tylko jeden bit? (Czytałem gdzieś, że w przypadku witryn stron trzecich ustawienie „zezwalaj na pliki cookie stron trzecich” dotyczy również IndexedDB, ale tego nie testowałem). Ustawienie „Offline treści internetowe i dane użytkownika” jest dość mylące, Wydaje mi się, że najwyraźniej nie dotyczy to IndexedDB.
Arjan
Mój komentarz na temat komentarza „nie wszystko jest tego pochodzenia” był błędny. W rzeczywistości również usuwa pliki cookie. Zaktualizuję odpowiedź, aby to odzwierciedlić.
Ben Kelly,
8
Trudno jest zachować równowagę między podpowiedziami w razie potrzeby a podpowiedziami za dużo. W tej chwili przestrzeń dyskowa jest zaprojektowana z myślą o tym, że witryny mogą używać pamięci masowej bez pytania, ale przeglądarka może ją usunąć pod presją. Jeśli witryna chce trwałego miejsca do przechowywania, musi otrzymać monit. Interfejsy API przechowywania są wyłączone w elementach iframe innych firm, gdy pliki cookie innych firm są wyłączone. W przyszłości możemy przejść do „podwójnego kluczowania” źródła w oparciu o początek okna najwyższego poziomu (tak jak zrobiło to safari), co dodatkowo izolowałoby pamięć. W FF nazywa się to „izolacją pierwszej strony” i pochodzi z projektu TOR.
Ben Kelly,
7
@Ben Kelly: Nadal nie obejmuje przypadku użycia „zezwala każdej witrynie na przechowywanie wszystkiego, aby zachować funkcjonalność, ale automatycznie usuwa miejsce przy wyjściu z przeglądarki” Prawda? Prywatne przeglądanie też nie jest fajnym rozwiązaniem, ponieważ w ogóle nic nie zatrzymuje (być może nadal chcę zachować historię przeglądarki lub pamięć dla witryn, którym naprawdę ufam. I nie, nie chcę przez cały czas przełączać się między przeglądaniem normalnym a prywatnym .)
manuel
19
Poprawiono ustawienie pliku cookie „usuń przy wyjściu” nie dotyczy takich rzeczy, jak IDB. Złożyłem tutaj błąd bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Sądzę, że nasze ogólne uprawnienia UX również są przerabiane, ale nie jestem pewien, czy omówione tu są ograniczenia dotyczące przestrzeni dyskowej, o których tu mowa. Złożyłem też błąd w tym celu: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Pracujemy nad ulepszeniem tych funkcji, ale jest to proces przyrostowy. Przepraszamy za problemy.
Ben Kelly,
5

Edycja: Proszę przeczytać komentarz Bena Kelly'ego, zanim przejdziesz do jakichkolwiek plików w twoim profilu.


Ponieważ w Firefoksie nie ma rozwiązania, można łatwo wdrożyć tymczasową poprawkę tego poza Firefoksem. Pliki IndexedDB są przechowywane w katalogu <profile>/storage/default. Opróżniając ten folder (na przykład zaplanowany skrypt), możesz odzyskać pełną kontrolę nad swoimi danymi i czasem ich trwania. Ponieważ każda witryna internetowa jest przechowywana w osobnym folderze, możesz nawet zaimplementować białą / czarną listę lub zasadniczo dowolne zasady, pod warunkiem, że masz doświadczenie w programowaniu.

To nie jest miłe rozwiązanie i nie jest usprawiedliwieniem dla twórców Firefoksa, aby odkładać na później właściwe rozwiązanie. (Raporty o błędach istnieją od lat!)

I pamiętaj, że format danych i lokalizacja mogą się zmieniać z czasem. Na przykład w poprzedniej wersji wszystkie dane IndexedDB były przechowywane w jednym pliku SQL.

manuel
źródło
2
Pamiętaj, że może to spowodować uszkodzenie Twojego profilu w przypadku niektórych witryn. Niektóre stany (np. Rejestracje pracownika usługi) są przechowywane poza tym katalogiem. Witryny mogą się mylić, jeśli pamięć zostanie usunięta, ale rejestracja pracownika usługi pozostanie. Nasz nowy UX do usuwania danych witryny jest dostępny w listopadzie i jest lepszym rozwiązaniem. Lub po prostu uruchom w trybie przeglądania prywatnego, który wyłącza całą pamięć.
Ben Kelly,
1
@BenKelly „... są przechowywane poza tym katalogiem.” Co to znaczy? Przechowywane gdzie? Jak usuwamy też tę część?
John1024,
2
Nie obsługujemy arbitralnych zmian w katalogu profilu. Jeśli zaczniesz ręcznie usuwać elementy, nie zdziw się, jeśli Twój profil zostanie uszkodzony i witryny nie będą działać poprawnie. Naprawdę nie polecam tego. Niektóre kwestie poruszone w pierwotnym pytaniu zostały w tym momencie naprawione. Również prywatne przeglądanie, kontenery itp. Zostały wymienione jako natychmiastowe rozwiązania. Proszę nie modyfikować ręcznie swojego profilu.
Ben Kelly,