Questão Como este site pode me reconfigurar mesmo depois de excluir todo o histórico do meu navegador e usar uma VPN?


O site dropmail.me é capaz de me reidentificar com sucesso (e oferecer meus últimos endereços de e-mail temporários usados ​​via "Restaurar acesso") apesar de fazer o seguinte:

  • Excluir todo o histórico de meus navegadores, que inclui cache, cookies, configurações do site, histórico de download, histórico de pesquisa, histórico do navegador e logins ativos. Basicamente tudo o que pode ser deletado através do menu do Firefox. Estou usando o Firefox 52 ESR.
  • Use uma VPN (que de acordo com suas declarações é segura contra o vazamento de IPv6 e DNS) que eu não usei quando visitei este site anteriormente.
  • Usando o uBlock Origin e o uMatrix

Informação adicional:

  • Minha "identidade" deve de alguma forma ser vinculada ao meu perfil atual do navegador. Quando uso um navegador diferente ou um novo perfil de navegador, o site não me identifica novamente como a mesma pessoa. Na verdade, é suficiente usar o addon do Firefox Priv8 e criar um novo caixa de areia ser identificado como uma pessoa diferente. Isso pode indicar que há algum tipo de armazenamento para sites que não podem ser acessados ​​ou excluídos pelo Firefox. (Não é Flash cookies, o site não usa Flash!)
  • (Atualização) Outros navegadores não são afetados. O Microsoft Edge, após excluir o histórico do navegador, não permite a reidentificação. Este é um problema apenas do Firefox!

Minhas perguntas são:

  • Como na terra eles são capazes de me reidentificar? Como sua única motivação para me reidentificar é oferecer acesso a endereços de e-mail usados ​​anteriormente, não acho que eles usem técnicas "sombrias" como impressões digitais, mas é claro que isso não pode ser descartado.
  • Como posso proteger deste tipo de "super rastreamento" usado por este site?

219


origem


Use o modo de navegação anônima ao visitar. Chrome e IE tem, tenho certeza que o Firefox também. - Appleoddity
@Appleoddity: Sim, o modo de navegação anônima ajuda, mas pelo que eu entendo isso apenas impede que os sites armazenem ou leiam o histórico do navegador etc. Assim, quando eu apago tudo, isso deve ter o mesmo efeito, mas não. Talvez um bug no Firefox? - manuel
Eu suspeito fortemente do mal que é evercookie - Prime
@Prime, neste caso não é. Manuel está certo: "Como sua única motivação para me reidentificar é oferecer acesso a endereços de e-mail usados ​​anteriormente, não acho que eles usem nenhuma técnica" sombria "" e espiando no código, você verá que eles estão simplesmente usando a tecnologia padrão da web. O Firefox é o culpado aqui, neste caso específico. - Arjan
Até mesmo limpando tudo ainda não vai proteger contra impressão digital - o11c


Respostas:


O site está usando o IndexedDB, para o qual MDN escreve:

O IndexedDB é uma maneira de armazenar persistentemente os dados dentro do navegador do usuário. Como ele permite criar aplicativos da Web com habilidades de consulta avançadas, independentemente da disponibilidade da rede, seus aplicativos podem funcionar tanto on-line quanto off-line.

Não está claro que isso soa como um bug no Firefox, mas aparentemente os desenvolvedores sentem o contrário. Como em março de 2015, alguém escreveu:

Mas, mesmo quando você exclui todas as suas informações de histórico, os dados do IndexedDB persistem.

A maneira correta de excluir esses dados é indo para about:permissions endereço, procure o domínio e pressione o botão Forget About This Site botão.

Enquanto about:permissions não funciona no meu Firefox 55, indo em Ferramentas, Informações da Página, Permissões eu recebo o botão "Limpar Armazenamento":

Page Info dialog

Ainda pior, nem o cinza-out "Usar padrão: sempre perguntar" na captura de tela acima, nem permitir "Informar quando um site pedir para armazenar dados para uso off-line" nas configurações, Avançado, Rede, tem algum efeito para evitar o armazenamento:

Advanced settings

Parece o seguinte a partir de agosto de 2011 ainda pode se aplicar (onde "[only]" é adicionado por mim):

Por padrão, no Firefox 4, um site pode usar até 50 MB de armazenamento IndexedDB. [Only] Se ele tentar usar mais de 50MB, o Firefox pedirá permissão ao usuário [...]

No Firefox para dispositivos móveis (Google Android e Nokia Maemo), o Firefox [só] pedirá permissão se um site tentar usar mais de 5MB [...]

Para desativá-lo completamente, vá para about:config e desativar dom.indexedDB.enabled. No entanto, tenha em atenção que tal poderá afectar também plugins / suplementos, o que parece ser o motivo pelo qual alguns querem remover essa opção, para a qual alguém anotou em maio de 2016:

Até que o IndexedDB seja tratado da mesma forma que os cookies em relação ao comportamento de aceitação / compensação e de terceiros, este pref deve existir.

(Pode-se encontrar dom.storage.enabled interessante também ...)


251



De fato. Uau. Isso é um grande negócio. Eu não fiz agora há uma lacuna no navegador que é "obcecado em proteger sua privacidade". - manuel
Desabilitando-o, até quebra o site mencionado anteriormente, e provavelmente outros sites também. Vamos esperar que a Mozilla tenha uma segunda olhada nisso. Uma solução pode ser excluir esse armazenamento depois que eu fechar o navegador e apenas o site selecionado em que confio possa ter seu armazenamento permanente. (esta é a maneira que eu ligo com cookies no momento) - manuel
Veja também, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
A mídia alemã menciona este tópico: heise.de/-3835084 - StanE
É sempre profundamente estúpido que a Mozilla trate o IndexedDB de forma diferente dos cookies. Ainda é descaradamente um tipo de biscoito. O protocolo é diferente, mas claramente, se eu quiser bloquear ou excluir todos os cookies, não me importo com o protocolo. Infelizmente, a prática da Mozilla é sempre "adicionar recursos agora, resolva as implicações de privacidade daqui a alguns anos, se é que vai acontecer". @manuel Tente percorrer aproximadamente: config algum tempo. Há muitas coisas assustadoras embutidas no Firefox e ativadas por padrão. A alegada postura pró-privacidade da Mozilla é puro marketing e nada mais. - Boann


Como observado por Arjan infelizmente é fácil deixar os dados do site instalados atualmente. Isso está melhorando um pouco com o redesenho preferencial do UX no FF57.

Por exemplo, em "Privacidade e segurança", há agora uma seção "Dados do site":

Redesigned Privacy & Security menu in Firefox 57

Ao clicar em "configurações" dos dados do site, você poderá remover os dados do site de uma origem específica:

Settings - Site Data

Isso removerá os dados armazenados no IDB, na API de cache etc. Também removerá cookies para a origem:

Removing site data for a specific site

(Desculpe por não fazer isso um comentário em Arjan's answer, mas eu queria incluir essas imagens.)

Disclaimer: Eu sou um funcionário da Mozilla


59



Alguma idéia se você também está planejando realmente pedir permissão ao usuário para armazenar os dados para começar, mesmo que seja apenas um único bit? (Li em algum lugar que, para sites de terceiros, a configuração para "permitir cookies de terceiros" também se aplica ao IndexedDB, mas não testei isso.) A configuração "Conteúdo da Web off-line e dados do usuário" é bastante enganosa. Eu sinto, como aparentemente não se aplica ao IndexedDB. - Arjan
Meu comentário sobre o comentário "não é uma nuke tudo para esta origem" estava errado. Ele também exclui cookies também. Vou atualizar a resposta para refletir isso. - Ben Kelly
É um equilíbrio difícil entre solicitar quando apropriado e solicitar demais. No momento, o armazenamento é projetado em torno dos sites de ideia, que podem ser armazenados sem aviso, mas que o navegador está livre para excluí-lo sob pressão. Se o site quiser armazenamento persistente, precisará de um prompt. As APIs de armazenamento estão desativadas em iframes de terceiros quando os cookies de terceiros estão desativados. No futuro, poderemos mudar para "double-keying" a origem com base na origem da janela de nível superior (como o safari fez), o que isolaria ainda mais o armazenamento. No FF isso é chamado de "isolamento de primeira parte" e vem do projeto TOR. - Ben Kelly
@Ben Kelly: Ainda não cobre o caso de uso "permitir que cada site armazene tudo para manter a funcionalidade, mas exclua automaticamente o armazenamento na saída do navegador" Certo? A navegação privada também não é uma boa solução, já que não mantém nada (talvez eu ainda queira manter meu histórico de navegador ou armazenamento para sites nos quais eu realmente confio. E não, eu não quero alternar entre navegação normal e privada o tempo todo .) - manuel
Você está certo que a configuração do cookie "excluir ao sair" não se aplica a coisas como o BID. Eu arquivei um bug aqui bugzilla.mozilla.org/show_bug.cgi?id=1400678. Acredito que nossas permissões gerais UX também estão sendo reformuladas, mas não tenho certeza se o tipo de restrição de armazenamento que está sendo discutido aqui está incluído ou não. Eu arquivei um bug para isso também: bugzilla.mozilla.org/show_bug.cgi?id=1400679. Estamos trabalhando para melhorar esses recursos, mas é um processo incremental. Desculpe pelos problemas. - Ben Kelly


Editar: Por favor, leia o comentário de Ben Kelly antes de mexer com qualquer arquivo em seu perfil.


Como não há solução dentro do Firefox, é fácil implementar uma correção temporária para isso fora do Firefox. Os arquivos do IndexedDB são armazenados no diretório <profile>/storage/default. Ao esvaziar essa pasta (por exemplo, através de um script agendado), você pode recuperar o controle total dos dados e quanto tempo eles persistem. Como cada site é armazenado em uma pasta separada, você pode até mesmo implementar uma lista de permissões / lista negra ou, basicamente, todas as políticas desejadas, já que você tem alguma experiência em programação.

Não é uma boa solução e não é desculpa para os desenvolvedores do Firefox continuarem adiando uma solução adequada para isso. (Bugreports existem há anos!)

E esteja ciente de que o formato e o local dos dados podem mudar com o tempo. Por exemplo, em uma versão anterior, todos os dados do IndexedDB foram armazenados em um único arquivo SQL.


5



Observe que isso pode corromper seu perfil para determinados sites. Alguns estados (como registros de trabalhadores de serviços) são armazenados fora desse diretório. Os sites podem ficar confusos se o armazenamento for removido, mas o registro do funcionário do serviço permanecerá. Nossa nova UX de remoção de "Dados do Site" está sendo lançada em novembro e é uma solução melhor. Ou execute apenas no modo de navegação privada, que desativa todo o armazenamento. - Ben Kelly
@BenKelly "... são armazenados fora deste diretório."  O que isso significa? Armazenado onde? Como podemos excluir essa parte também? - John1024
Não suportamos alterações arbitrárias no diretório do perfil. Se você começar a excluir manualmente as coisas, não se surpreenda se o seu perfil ficar corrompido e os sites não funcionarem corretamente. Eu realmente não recomendo. Algumas das questões levantadas pela questão original estão sendo corrigidas enquanto falamos. Além disso, navegação privada, contêineres, etc. foram mencionados como soluções imediatas. Por favor, não modifique seu perfil manualmente. - Ben Kelly