Як цей веб-сайт може мене впізнати навіть після видалення всієї історії мого веб-переглядача та використання VPN?

222

Веб-сайт dropmail.me здатний успішно визначити мене (і запропонувати останні мої використовувані тимчасові адреси електронної пошти через. "Відновити доступ"), незважаючи на те, що:

  • Видаліть всю мою історію веб-переглядачів, яка включає кеш, файли cookie, налаштування веб-сайту, історію завантажень, історію пошуку, історію браузера та активні входи. В основному все, що можна видалити через меню Firefox. Я використовую Firefox 52 ESR.
  • Використовуйте VPN (який, на їхню думку, захищений від витоку IPv6 та DNS), який я не використовував, коли раніше відвідував цей веб-сайт.
  • Використання uBlock Origin та uMatrix

Додаткова інформація:

  • Моя "особистість" якось повинна бути пов'язана з моїм поточним профілем браузера. Коли я використовую інший веб-переглядач або новий профіль веб-переглядача, веб-сайт не визнає мене як таку саму людину. Власне, достатньо використовувати додаток Firefox Priv8 та створити нову пісочницю, яку можна ідентифікувати як іншу людину. Це може вказувати на наявність певного сховища для веб-сайтів, до яких не можна отримати доступ або видалити через Firefox. (Це не файли cookie Flash; веб-сайт не використовує Flash!)
  • (Оновлення) На інші браузери це не впливає. Після видалення історії браузера Microsoft Edge не дозволяє повторно ідентифікувати. Це лише питання Firefox!

Мої запитання:

  • Як на землі вони здатні мене перезначити? Оскільки їх єдиною мотивацією для повторної ідентифікації є надання доступу до раніше використовуваних адрес пошти, я не думаю, що вони використовують такі "темні" методи, як дактилоскопія, але, звичайно, це не можна виключити.
  • Як я можу захистити від такого "суперстеження", що використовується цим веб-сайтом?
firefox  browser  privacy  tracking  private-browsing 
мануель
джерело
6
Використовуйте режим анонімного перегляду під час відвідування. У Chrome і IE є, я впевнений, що Firefox теж.
Appleoddity
5
@Appleoddity: Так, режим інкогніто допомагає, але, наскільки я розумію, це просто заважає веб-сайтам зберігати чи читати історію браузера тощо. Отже, коли я видаляю все, це має мати той же ефект, але це не робить. Може бути помилка у Firefox?
мануель
22
Я сильно підозрюю , що зло, яке evercookie
прем'єр
2
@Prime, в цьому випадку це не так. Мануель має рацію: "Оскільки їх єдиною мотивацією для повторної ідентифікації є надання доступу до раніше використовуваних адрес електронної пошти, я не думаю, що вони використовують будь-які" темні "прийоми" і зазираючи в код, ви побачите, що вони просто використовують стандартні веб-технології. В цьому конкретному випадку винна Firefox.
Ар'ян
9
Навіть очищення все ще не захистить відбитків пальців
o11c,

Відповіді:

253

Веб-сайт використовує IndexedDB, для якого MDN пише :

IndexedDB - це спосіб для постійного зберігання даних у веб-переглядачі користувача. Оскільки це дозволяє створювати веб-додатки з великими можливостями запиту незалежно від доступності мережі, ваші програми можуть працювати як в Інтернеті, так і в автономному режимі.

Якщо не очистити, це справді схоже на помилку у Firefox, але, мабуть, розробники вважають інакше. Як і в березні 2015 року, хтось написав :

Але навіть якщо ви видаляєте всю інформацію про свою історію, дані з IndexedDB зберігаються.

Правильний спосіб видалити ці дані - перейти до about:permissionsадреси, шукати домен і натискати Forget About This Siteкнопку.

Хоча about:permissionsв моєму Firefox 55 не працює, зайшовши в Інструменти, Інформація про сторінку, Дозволи, я отримую кнопку "Очистити сховище":

Діалогове вікно "Інформація про сторінку"

Ще гірше, що ні сірене "Використовувати за замовчуванням: Завжди запитувати" у наведеному вище екрані, ні ввімкнення "Повідомляти, коли веб-сайт просить зберігати дані для використання в режимі офлайн" у налаштуваннях, Додатково, Мережа, не мають жодного ефекту, щоб уникнути зберігання :

Розширені налаштування

Здається, наступне з серпня 2011 року все ще може застосовуватися (де "[тільки]" додано мною):

За замовчуванням у Firefox 4 сайт може використовувати до 50 МБ пам’яті IndexedDB. [Тільки] Якщо він намагається використовувати більше 50 Мб, Firefox запитає у користувача дозвіл [...]

У Firefox для мобільних пристроїв (Google Android та Nokia Maemo) Firefox [лише] попросить дозволу, якщо сайт намагається використовувати більше 5 Мб [...]

Щоб вимкнути його повністю, перейдіть about:configта вимкніть його dom.indexedDB.enabled. Однак майте на увазі, що таке може вплинути також на плагіни / доповнення, що, здається, чомусь деякі хочуть видалити цю опцію, про яку хтось зазначив у травні 2016 року :

Поки indexedDB не обробляється так само, як файли cookie щодо прийняття / очищення та поведінки сторонніх, ця префіксація повинна існувати.

(Можливо, ви dom.storage.enabledтеж знайдете цікаве ...)

Арджан
джерело
153
Справді. Ого. Це велика справа. Я не сказав, що в браузері є така лазівка, яка "одержима захистом вашої конфіденційності" .
мануель
23
Якщо вимкнути це, навіть порушується згаданий раніше веб-сайт, і, мабуть, і інші веб-сайти. Будемо сподіватися, що Мозілла по-другому погляне на це. Одним із варіантів рішення може бути видалення цього сховища після закриття веб-переглядача і лише вибраний сайт, якому я довіряю, може мати постійне зберігання. (саме зараз я обробляю файли cookie)
мануель
28
Дивіться також, bugzilla.mozilla.org/show_bug.cgi?id=1047098
Боб
10
StanE
27
Завжди було дуже глупо, що Mozilla ставиться до IndexedDB по-різному від cookie. Це все ще кричуще своєрідне печиво. Протокол відрізняється, але явно, якщо я хочу заблокувати або видалити всі файли cookie, я не переймаюся протоколом. На жаль, практика Mozilla - це завжди "додавати функції зараз, впорядковувати наслідки для конфіденційності років, якщо ніколи". @manuel Спробуйте переглядати приблизно: конфігуруйте деякий час. У Firefox дійсно багато страшних речей, які вмикаються за замовчуванням. Передбачувана позиція Mozilla щодо конфіденційності - це чистий маркетинг, і не більше того.
Боан
59

Як зауважив Арджан, на жаль, легко залишити дані про сайт, встановлені на даний момент. Це дещо вдосконалюється за допомогою переваги перероблення UX у FF57.

Наприклад, у розділі "Конфіденційність та безпека" зараз є розділ "Дані про сайт":

Перероблене меню конфіденційності та безпеки у Firefox 57

Натиснувши "налаштування" даних про сайт, ви зможете видалити дані про сайт для певного походження:

Налаштування - Дані про сайт

Це видалить дані, що зберігаються в IDB, API кешу тощо. Також буде видалено файли cookie для походження:

Видалення даних про сайт для певного сайту

(Вибачте, що не зробив цей коментар під відповіддю Аряна , але я хотів включити ці скріншоти.)

Відмова: Я працівник Mozilla

Бен Келлі
джерело
4
Будь-яка ідея, якщо ви також плануєте фактично запропонувати користувачеві отримати дозвіл на зберігання даних для початку, навіть якщо це лише один біт? (Я десь читав, що для сторонніх сайтів налаштування "дозволити сторонні файли cookie" також стосується IndexedDB, але я цього не перевіряв.) Параметр "Офлайн-веб-вміст і дані користувачів" досить обманливий, Я відчуваю, як це, мабуть, не стосується IndexedDB.
Ар'ян
Мій коментар про його коментар "не все, що стосується цього походження" був помилковим. Фактично видаляє файли cookie. Я оновлю відповідь, щоб це відобразити.
Бен Келлі
8
Це важкий баланс між спонуканням, коли це доречно, і надто великим спонуком. Зараз сховище - це дизайн навколо ідеальних сайтів, які можуть використовувати сховище без підказки, але браузер може видалити його під тиском. Якщо сайт хоче постійного зберігання, їм потрібне підказка. API зберігання відключені в сторонніх iframe сторонніх файлів, коли сторонні файли cookie вимкнено. В майбутньому ми можемо перейти до "подвійного клавіші" походження на основі джерела вікна верхнього рівня (як це зробив сафарі), що надалі дозволить ізолювати сховище. У FF це називається "першою партією ізоляції" і походить від проекту TOR.
Бен Келлі
7
@Ben Kelly: Він все ще не охоплює регістр використання "дозволяйте кожному веб-сайту зберігати все для підтримки функціональності, але автоматично видаляйте сховище при виході з браузера" Так? Приватний перегляд не є приємним рішенням, оскільки він взагалі нічого не зберігає (можливо, я все-таки хочу зберігати історію веб-переглядачів або сховище для сайтів, яким я справді довіряю. І ні, я не хочу весь час переключатися між звичайним та приватним переглядом. .)
мануель
19
Ви виправляєте, що налаштування файлів cookie "видалити при виході" не стосується таких речей, як IDB. Я подав помилку тут bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Я вважаю, що наші загальні дозволи UX також переробляються, але я не впевнений, які види обмежень щодо зберігання, про які йдеться тут, включені чи ні. Я також подав помилку для цього: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Ми працюємо над вдосконаленням цих функцій, але це поступовий процес. Вибачте за проблеми.
Бен Келлі
5

Редагувати: Будь ласка, прочитайте коментар Бен Келлі перед тим, як возитися з будь-якими файлами у вашому профілі.

Оскільки всередині Firefox немає рішення, можна легко застосувати тимчасове виправлення цього за межами Firefox. Файли indexedDB зберігаються в каталозі <profile>/storage/default. Спустошивши цю папку (наприклад, хоч запланований сценарій), ви зможете відновити повний контроль над своїми даними та тим, як довго вона зберігається. Оскільки кожен веб-сайт зберігається в окремій папці, ви навіть можете реалізувати білий список / чорний список або в основному будь-яку політику, яку ви хочете, враховуючи, що у вас є досвід програмування.

Це не приємне рішення і не привід для розробників Firefox продовжувати відкладати правильне рішення для цього. (Бугрепорти існують уже роки!)

І майте на увазі, що формат даних та місцеположення можуть змінюватися з часом. Наприклад, у попередній версії всі дані IndexedDB зберігалися в одному файлі SQL.

мануель
джерело
2
Зауважте, що це може пошкодити ваш профіль для певних сайтів. Деякі штати (наприклад, реєстрації службових працівників) зберігаються за межами цього каталогу. Сайти можуть заплутатися, якщо зберігання видалено, але реєстрація службового працівника залишається. Наш новий UX-файл для видалення даних про сайт доставляється в листопаді і є кращим рішенням. Або просто запустіть у режимі приватного перегляду, який вимкне всі сховища.
Бен Келлі
1
@BenKelly "... зберігаються за межами цього каталогу." Що це означає? Зберігається де? Як ми також видалимо цю частину?
John1024
2
Ми не підтримуємо довільних змін у каталозі профілів. Якщо ви почнете видаляти речі вручну, тоді не дивуйтеся, якщо ваш профіль буде пошкоджений і веб-сайти не працюють належним чином. Я не рекомендую. Деякі питання, що виникають під час первинного запитання, зараз виправляються. Крім того, приватні веб-переглядачі, контейнери тощо були згадані як негайні рішення. Будь ласка, не вручну змінюйте свій профіль.
Бен Келлі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.