Как этот веб-сайт может идентифицировать меня даже после удаления всей истории моего браузера и использования VPN?

30099
manuel

Веб-сайт dropmail.me может успешно идентифицировать меня (и предлагать мои последние использованные временные почтовые адреса через «Восстановить доступ»), несмотря на следующие действия:

  • Удалить всю мою историю браузеров, которая включает в себя кэш, куки, настройки веб-сайта, историю загрузок, историю поиска, историю браузера и активные входы в систему. В основном все, что можно удалить через меню Firefox. Я использую Firefox 52 ESR.
  • Использовать VPN (который в соответствии с их требованиями защищен от утечки IPv6 и DNS), который я не использовал, когда посещал этот сайт ранее.
  • Использование uBlock Origin и uMatrix

Дополнительная информация:

  • Моя «личность» должна как-то быть привязана к моему текущему профилю браузера. Когда я использую другой браузер или новый профиль браузера, веб-сайт не идентифицирует меня как одного и того же человека. На самом деле, достаточно использовать дополнение Firefox Priv8 и создать новую песочницу, чтобы идентифицировать себя как другого человека. Это может указывать на то, что для Firefox существует некое хранилище для веб-сайтов, к которым нельзя получить доступ или удалить их. (Это не Flash-куки, сайт не использует Flash!)
  • (Обновление) Другие браузеры не затрагиваются. Microsoft Edge после удаления истории браузера не разрешает повторную идентификацию. Это проблема только Firefox!

Мои вопросы:

  • Как же они могут меня опознать? Поскольку их единственная мотивация для повторной идентификации меня заключается в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо "темные" методы, такие как дактилоскопия, но, конечно, это нельзя исключать.
  • Как я могу защитить от такого рода «супер-слежения», используемого этим сайтом?
220
Используйте режим инкогнито при посещении. Chrome и IE есть, я уверен, что Firefox тоже. Appleoddity 6 лет назад 6
Вы входите в любой момент? LPChip 6 лет назад 1
@Appleoddity: Да, режим инкогнито помогает, но, насколько я понимаю, это просто мешает веб-сайтам хранить или читать историю браузера и т. Д. Поэтому, когда я удаляю все, это должно иметь тот же эффект, но это не так. Может быть, ошибка в Firefox? manuel 6 лет назад 5
@LPChip: Нет, я не manuel 6 лет назад 1
Я сильно подозреваю, что зло [evercookie] (https://github.com/samyk/evercookie) Prime 6 лет назад 22
@ Прайм, в данном случае это не так. Мануэль прав: _ "Поскольку их единственная мотивация для повторной идентификации меня состоит в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо" темные "методы" и заглядывают в код, который вы увидите, они просто используя стандартные веб-технологии. Firefox виноват здесь, в этом конкретном случае. Arjan 6 лет назад 2
С постоянными [ever-cookies] (https://samy.pl/evercookie/)! Chloe 6 лет назад 0
Если вы используете политику использования файлов cookie только для белого списка (т.е. блокируете их по умолчанию), то сайты не могут использовать indexedb, что также предотвращает такое отслеживание. the8472 6 лет назад 1
Даже очистка * всего * по-прежнему не защитит от [дактилоскопии] (https://github.com/Valve/fingerprintjs2) o11c 6 лет назад 9
@ o11c Правда, но вы не можете использовать дактилоскопию для однозначной идентификации «новых» пользователей, только для повторной идентификации возвращающихся пользователей cat 6 лет назад 0
Даже если вы переустановите весь свой браузер, [вы все еще можете быть узнаваемы] (https://panopticlick.eff.org/) с помощью установленных шрифтов, плагинов и даже подключенного монитора! Вы действительно можете сделать очень мало, чтобы избежать _that_ профилирования. KlaymenDK 6 лет назад 1
@cat: Если они увидят отпечаток пальца, которого не видели раньше, скорее всего, он будет новым. Кстати, https://amiunique.org - один из многих сайтов, где можно немного узнать, насколько вы уникальны ... PlasmaHH 6 лет назад 1
Я бы попробовал удалить куки: исходя из того, что вы говорите о режиме инкогнито, это может быть наиболее вероятным виновником. Режим инкогнито останавливает сохранение файлов cookie, помимо прочего :) GMasucci 6 лет назад 0
@GMasucci: Вы также читали вопрос и заметили ли вы, что уже есть принятый ответ? manuel 6 лет назад 1

3 ответа на вопрос

252
Arjan

Сайт использует IndexedDB, для чего MDN пишет :

IndexedDB - это способ постоянного хранения данных в браузере пользователя. Поскольку он позволяет создавать веб-приложения с широкими возможностями запросов независимо от доступности сети, ваши приложения могут работать как в сети, так и в автономном режиме.

Не очищать это звучит как ошибка в Firefox действительно, но, видимо, разработчики считают иначе. Как и в марте 2015 года, кто-то написал :

Но даже когда вы удаляете всю свою историю, данные из IndexedDB сохраняются.

Правильный способ удалить эти данные - перейти по about:permissionsадресу, найти домен и нажать Forget About This Siteкнопку.

Хотя about:permissionsв моем Firefox 55 не работает, зайдя в Инструменты, Информация о странице, Разрешения, я получаю кнопку «Очистить хранилище»:

Page Info dialog

Хуже того, ни серое «Использовать по умолчанию: всегда спрашивать» в приведенном выше снимке экрана, ни включение «Сообщать вам, когда веб-сайт просит сохранить данные для автономного использования» в настройках «Дополнительно», «Сеть», не имеют никакого эффекта, чтобы избежать хранения :

Advanced settings

Похоже, что с августа 2011 года все еще может применяться (где «[только]» добавлен мной):

По умолчанию в Firefox 4 сайт может использовать до 50 МБ хранилища IndexedDB. [Только] Если он пытается использовать более 50 МБ, Firefox запросит у пользователя разрешение [...]

В Firefox для мобильных устройств (Google Android и Nokia Maemo) Firefox будет [только] запрашивать разрешение, если сайт пытается использовать более 5 МБ [...]

Чтобы отключить его вообще, перейдите к about:configи отключить dom.indexedDB.enabled. Однако следует помнить, что это может повлиять и на плагины / надстройки, поэтому некоторые, возможно, хотят удалить эту опцию, о которой кто-то заметил в мае 2016 года :

До тех пор, пока IndexedDB не будет обрабатываться так же, как и cookie, в отношении принятия / очистки и поведения третьих сторон, этот преф должен существовать.

(Тоже может быть dom.storage.enabledинтересно ...)

В самом деле. Вот это да. Это большое дело. Я не знал, что в браузере есть такая лазейка, которая [«одержима защитой вашей конфиденциальности»] (https://www.mozilla.org/en-US/firefox/features/private-browsing/). manuel 6 лет назад 153
@manuel, я добавил настройку about: config и еще несколько ссылок. Не очень сытно ... :-( Arjan 6 лет назад 2
... но, @manuel, его отключение может повлиять на плагины / дополнения, так что будьте осторожны. Я ухожу ;-) Arjan 6 лет назад 0
Отключение даже нарушает упомянутый ранее веб-сайт и, возможно, другие веб-сайты. Будем надеяться, что Мозилла еще раз посмотрит на это. Одним из решений может быть удаление этого хранилища после того, как я закрою свой браузер, и только выбранный сайт, которому я доверяю, может иметь свое постоянное хранилище. (так я сейчас обращаюсь с куки) manuel 6 лет назад 23
Смотрите также https://bugzilla.mozilla.org/show_bug.cgi?id=1047098 Bob 6 лет назад 28
@ manuel Интересно, удалили ли они весь код Netscape Navigator из Firefox? trognanders 6 лет назад 2
Вы можете просмотреть использование автономного хранилища с помощью `about: preferences # privacy`, если` about: permissions` не работает для вас. unpythonic 6 лет назад 0
Немецкие СМИ упоминают эту тему: https://heise.de/-3835084 StanE 6 лет назад 10
Всегда было глубоко глупо, что Mozilla трактует IndexedDB иначе, чем куки. Это все еще явно вид печенья. Протокол другой, но если я хочу заблокировать или удалить все файлы cookie, мне наплевать на протокол. К сожалению, практика Mozilla всегда заключается в том, чтобы «добавлять функции сейчас, разобраться с последствиями для конфиденциальности лет спустя, если вообще когда-либо». @manuel Попробуй поближе познакомиться с: config через некоторое время. В Firefox действительно много страшных вещей, включенных по умолчанию. Предполагаемая позиция Mozilla в отношении конфиденциальности - чистый маркетинг и ничего более. Boann 6 лет назад 27
@BaileyS Возможно. Вот почему Netscape проиграл (более ранние) войны браузеров, и ему пришлось полностью провести ребрендинг и ремаркетинг. Было сказано, что они начали с нуля, хотя, конечно, возможно, что они скопировали часть кода. Но я бы не беспокоился, что Firefox использует какой-либо код IndexedDB в Navigator, учитывая, что он не существовал в то время: D Luaan 6 лет назад 0
Это откровение, но не могли бы вы расширить ответ кратким комментарием о том, как другие браузеры делают с конфиденциальностью IndexedDB? alexis 6 лет назад 0
@Arjan Есть ли способ уменьшить порог в 50 МБ для IndexedDB примерно до 0 МБ? Таким образом, Firefox всегда будет запрашивать разрешение, когда сайт хочет сохранить данные. RogUE 6 лет назад 0
Отчет об ошибках Mozilla теперь помечен как исправленный, и похоже, что они фактически обновили настройки «очистки данных», добавив индексированные БД при удалении автономных данных. Не уверен, в каком патче / выпуске он будет. Roddy of the Frozen Peas 6 лет назад 1
Ссылка на leonardcamacho.me не работает. Archive.org имеет короткую сломанную копию на https://web.archive.org/web/20170919135015/https://leonardcamacho.me/how-tot-delete-data-from-indexeddb-on-firefox/ Max Barraclough 6 лет назад 1
@RoddyoftheFrozenPeas Хорошее место. Со страницы Bugzilla: «Пометить сборку 52.5.0esr как проверенную исправленную». Max Barraclough 5 лет назад 0
59
Ben Kelly

Как отметил Арджан, к сожалению, в настоящее время легко оставить установленные данные сайта. Это несколько улучшается с предпочтением редизайна UX в FF57.

Например, в разделе «Конфиденциальность и безопасность» теперь есть раздел «Данные сайта»:

Redesigned Privacy & Security menu in Firefox 57

Нажав на «настройки» данных сайта, вы сможете удалить данные сайта для определенного источника:

Settings - Site Data

Это удалит данные, хранящиеся в IDB, Cache API и т. Д. Также удалит файлы cookie для источника:

Removing site data for a specific site

(Извините, что не сделал этот комментарий под ответом Арджана, но я хотел включить эти скриншоты.)

Отказ от ответственности: я сотрудник Mozilla

Любая идея, если вы также планируете фактически запросить у пользователя разрешение на сохранение данных, даже если это всего лишь один бит? (Я где-то читал, что для сторонних сайтов параметр «разрешать сторонние файлы cookie» также применяется к IndexedDB, но я не проверял это.) Параметр «Автономный веб-контент и данные пользователя» весьма обманчив, Я чувствую, как это, видимо, не относится к IndexedDB. Arjan 6 лет назад 4
Мой комментарий о том, что это «не все для этого источника», был неправильным. Он действительно удаляет куки. Я обновлю ответ, чтобы отразить это. Ben Kelly 6 лет назад 0
Это сложный баланс между побуждением, когда это уместно, и побуждением слишком много. Прямо сейчас хранилище основано на идее, что сайты могут использовать хранилище без запроса, но браузер может удалить его под давлением. Если сайту требуется постоянное хранилище, ему нужно приглашение. API хранилища отключаются в сторонних фреймах, когда сторонние куки отключены. В будущем мы можем перейти к «двойному ключу» источника на основе источника окна верхнего уровня (как это сделал safari), что дополнительно изолирует хранилище. В FF это называется «изоляция от первой стороны» и происходит от проекта TOR. Ben Kelly 6 лет назад 8
Другие решения, которые вы можете использовать сегодня: 1. Режим приватного просмотра предотвращает все хранилища. 2. Контейнеры изолируют хранилище (https://blog.mozilla.org/firefox/introduction-firefox-multi-account-containers/). Имейте в виду, однако, что предотвращение / изоляция хранилища не предотвратит все отпечатки пальцев. Ben Kelly 6 лет назад 0
@Ben Kelly. Он по-прежнему не охватывает сценарий использования: «разрешить каждому веб-сайту хранить все для сохранения функциональности, но автоматически удалять хранилище при выходе из браузера». Приватный просмотр также не является хорошим решением, поскольку он вообще ничего не хранит (возможно, я все еще хочу сохранить историю браузера или хранилище для сайтов, которым я действительно доверяю. И нет, я не хочу все время переключаться между обычным и приватным просмотром .) manuel 6 лет назад 7
Вы правы, что настройка cookie «удалить при выходе» не относится к таким вещам, как IDB. Я подал ошибку здесь https://bugzilla.mozilla.org/show_bug.cgi?id=1400678. Я полагаю, что наши общие разрешения UX также переделаны, но я не уверен, включены ли ограничения хранения, о которых здесь говорится, или нет. Я также подал ошибку для этого: https://bugzilla.mozilla.org/show_bug.cgi?id=1400679. Мы работаем над улучшением этих функций, но это постепенный процесс. Извините за проблемы. Ben Kelly 6 лет назад 19
5
manuel

Изменить: Пожалуйста, прочитайте комментарий Бен Келли, прежде чем возиться с файлами в вашем профиле.

Поскольку внутри Firefox нет решения, можно легко внедрить временное исправление за пределами Firefox. Файлы IndexedDB хранятся в каталоге <profile>/storage/default. Очистив эту папку (например, через запланированный сценарий), вы можете восстановить полный контроль над вашими данными и тем, как долго они сохраняются. Поскольку каждый веб-сайт хранится в отдельной папке, вы можете даже внедрить белый / черный список или, в принципе, любую необходимую политику, если у вас есть некоторый опыт программирования.

Это не хорошее решение и нет оправдания для разработчиков Firefox продолжать откладывать правильное решение для этого. (Сообщения об ошибках существуют годами!)

И имейте в виду, что формат данных и их местоположение могут со временем меняться. Например, в предыдущей версии все данные IndexedDB хранились в одном файле SQL.

Обратите внимание, что это может повредить ваш профиль для определенных сайтов. Некоторые состояния (например, регистрации сервисных работников) хранятся вне этого каталога. Сайты могут запутаться, если хранилище будет удалено, но регистрация сервисного работника останется. Наш новый UX для удаления «Site Data» поставляется в ноябре и является лучшим решением. Или просто запустить в режиме частного просмотра, который отключает все хранилище. Ben Kelly 6 лет назад 2
@BenKelly _ "... хранятся вне этого каталога." _ Что это значит? Хранится где? Как мы можем удалить эту часть тоже? John1024 6 лет назад 1
Мы не поддерживаем произвольные изменения в каталоге профиля. Если вы начнете удалять вещи вручную, не удивляйтесь, если ваш профиль будет поврежден и сайты не будут работать правильно. Я действительно не рекомендую это. Некоторые из вопросов, поднятых первоначальным вопросом здесь, исправляются, пока мы говорим. Кроме того, частный просмотр, контейнеры и т. Д. Были упомянуты в качестве немедленного решения. Пожалуйста, не изменяйте свой профиль вручную. Ben Kelly 6 лет назад 2

Похожие вопросы