Come può questo sito Web identificarmi nuovamente dopo aver eliminato tutta la cronologia del mio browser e aver utilizzato una VPN?

222

Il sito web dropmail.me è in grado di identificarmi con successo (e di offrire i miei ultimi indirizzi di posta elettronica temporanea usati tramite "Ripristina accesso") nonostante le seguenti operazioni:

  • Elimina tutta la cronologia dei miei browser che include cache, cookie, impostazioni del sito Web, cronologia dei download, cronologia delle ricerche, cronologia del browser e accessi attivi. Fondamentalmente tutto ciò che può essere eliminato tramite il menu di Firefox. Sto usando Firefox 52 ESR.
  • Utilizzare una VPN (che secondo le loro affermazioni è sicura contro le perdite di IPv6 e DNS) che non ho usato quando ho visitato questo sito Web in precedenza.
  • Uso di uBlock Origin e uMatrix

Informazioni aggiuntive:

  • La mia "identità" deve in qualche modo essere legata al mio profilo attuale del browser. Quando utilizzo un browser diverso o un nuovo profilo del browser, il sito Web non mi identifica come la stessa persona. In realtà, è sufficiente utilizzare l'addon Firefox Priv8 e creare un nuovo sandbox per essere identificato come una persona diversa. Ciò potrebbe indicare che esiste un qualche tipo di spazio di archiviazione per i siti Web a cui non è possibile accedere o eliminare Firefox. (Non sono i cookie Flash, il sito Web non utilizza Flash!)
  • (Aggiornamento) Altri browser non sono interessati. Microsoft Edge, dopo aver eliminato la cronologia del browser, non consente la reidentificazione. Questo è un problema solo per Firefox!

Le mie domande sono:

  • Come mai riescono a identificarmi? Dal momento che la loro unica motivazione per identificarmi di nuovo è quella di offrire l'accesso a indirizzi di posta precedentemente utilizzati, non credo che utilizzino tecniche "oscure" come l'impronta digitale, ma ovviamente non si può escludere.
  • Come posso proteggere da questo tipo di "super-tracking" utilizzato da questo sito Web?
firefox  browser  privacy  tracking  private-browsing 
manuel
fonte
6
Utilizza la modalità di navigazione in incognito durante la visita. Chrome e IE ce l'hanno, sono sicuro che anche Firefox.
Appleoddity,
5
@Appleoddity: Sì, la modalità di navigazione in incognito aiuta, ma per quanto ne so, impedisce ai siti Web di archiviare o leggere la cronologia del browser, ecc. Quindi, quando elimino tutto ciò dovrebbe avere lo stesso effetto, ma non lo è. Forse un bug in Firefox?
manuel,
22
Sospetto fortemente il male che sia evercookie
Prime
2
@Prime, in questo caso non lo è. Manuel ha ragione: "Dato che la loro unica motivazione per reidentificarmi è quella di offrire l'accesso a indirizzi di posta usati in precedenza, non credo che utilizzino tecniche" oscure " e sbirciare nel codice vedrai che stanno semplicemente usando lo standard tecnologia web. Firefox è la colpa qui, in questo caso specifico.
Arjan,
9
Anche cancellare tutto non proteggerà dalle impronte digitali
o11c

Risposte:

253

Il sito Web utilizza IndexedDB, per cui MDN scrive :

IndexedDB è un modo per archiviare in modo persistente i dati all'interno del browser di un utente. Poiché consente di creare applicazioni Web con funzionalità di query avanzate indipendentemente dalla disponibilità della rete, le applicazioni possono funzionare sia online che offline.

Non cancellarlo suona davvero come un bug in Firefox, ma a quanto pare gli sviluppatori pensano diversamente. Come a marzo 2015, qualcuno ha scritto :

Ma anche quando si eliminano tutte le informazioni sulla cronologia, i dati da IndexedDB persistono.

Il modo giusto per eliminare questi dati è andare about:permissionsall'indirizzo, cercare il dominio e premere il Forget About This Sitepulsante.

Mentre about:permissionsnon funziona nel mio Firefox 55, andando su Strumenti, Informazioni sulla pagina, Autorizzazioni ottengo il pulsante "Cancella memoria":

Finestra di dialogo Informazioni sulla pagina

Ancora peggio, né il grigio "Usa predefinito: Chiedi sempre" nella schermata precedente, né abilitare "Ti dico quando un sito web chiede di archiviare dati per l'uso offline" nelle impostazioni, Avanzate, Rete, ha alcun effetto per evitare l'archiviazione :

Impostazioni avanzate

Sembra che possa ancora essere valido quanto segue dall'agosto 2011 (dove "[solo]" è stato aggiunto da me):

Per impostazione predefinita in Firefox 4, un sito può utilizzare fino a 50 MB di spazio di archiviazione IndexedDB. [Solo] Se tenta di utilizzare più di 50 MB, Firefox chiederà all'utente l'autorizzazione [...]

In Firefox per dispositivi mobili (Google Android e Nokia Maemo), Firefox chiederà [...] l'autorizzazione solo se un sito tenta di utilizzare più di 5 MB [...]

Per disabilitarlo del tutto, vai about:confige disabilita dom.indexedDB.enabled. Tuttavia, tieni presente che tali potrebbero influenzare anche i plug-in / componenti aggiuntivi, il che sembra essere il motivo per cui alcuni vogliono rimuovere tale opzione, per cui qualcuno ha notato a maggio 2016 :

Fino a quando IndexedDB viene gestito allo stesso modo dei cookie per quanto riguarda l'accettazione / la cancellazione e il comportamento di terze parti, questo pref dovrebbe esistere.

(Uno potrebbe trovare dom.storage.enabledinteressante anche ...)

Arjan
fonte
153
Infatti. Wow. Questo è un grosso problema. Ora non ho riscontrato una tale lacuna nel browser che è "ossessionato dalla protezione della tua privacy" .
manuel,
23
La disabilitazione interrompe anche il sito Web menzionato in precedenza e probabilmente anche altri siti Web. Speriamo che Mozilla darà una seconda occhiata a questo. Una soluzione potrebbe essere quella di eliminare questo spazio di archiviazione dopo aver chiuso il browser e solo il sito selezionato di cui mi fido può disporre di un archivio permanente. (questo è il modo in cui gestisco i cookie al momento)
manuel
28
Bob
10
I media tedeschi menzionano questo argomento: heise.de/-3835084
StanE
27
È sempre stato profondamente stupido che Mozilla trattasse IndexedDB in modo diverso dai cookie. È ancora palesemente una specie di biscotto. Il protocollo è diverso, ma chiaramente se voglio bloccare o eliminare tutti i cookie non mi interessa il protocollo. Sfortunatamente, la pratica di Mozilla è sempre "aggiungi funzionalità ora, risolvi le implicazioni sulla privacy tra anni, se non mai". @manuel Prova a sfogliare about: config qualche volta. Ci sono davvero molte cose spaventose integrate in Firefox e abilitate per impostazione predefinita. La presunta posizione favorevole alla privacy di Mozilla è pura pubblicità e niente di più.
Boann,
59

Come notato da Arjan , purtroppo è facile lasciare attualmente installati i dati del sito. Questo sta migliorando leggermente con la riprogettazione delle preferenze UX in FF57.

Ad esempio, sotto "Privacy e sicurezza" ora c'è una sezione "Dati del sito":

Menu di privacy e sicurezza riprogettato in Firefox 57

Facendo clic sulle "impostazioni" dei dati del sito, potrai rimuovere i dati del sito per un'origine specifica:

Impostazioni - Dati del sito

Ciò rimuoverà i dati memorizzati in IDB, API cache, ecc. Rimuoverà anche i cookie per l'origine:

Rimozione dei dati del sito per un sito specifico

(Mi dispiace di non aver reso questo un commento sotto la risposta di Arjan , ma volevo includere questi screenshot.)

Disclaimer: sono un dipendente Mozilla

Ben Kelly
fonte
4
Qualche idea se stai pianificando di richiedere effettivamente all'utente l'autorizzazione per archiviare i dati per iniziare, anche se è solo un bit? (Ho letto da qualche parte che per i siti di terze parti l'impostazione per "consentire i cookie di terze parti" si applica anche a IndexedDB, ma non l'ho verificato.) L'impostazione "Contenuto Web offline e dati utente" è piuttosto ingannevole, Sento, poiché apparentemente non si applica a IndexedDB.
Arjan,
Il mio commento sul suo commento "non è una bomba atomica per questa origine" era sbagliato. In realtà elimina anche i cookie. Aggiornerò la risposta per riflettere questo.
Ben Kelly,
8
È un equilibrio difficile tra sollecitare quando appropriato e sollecitare troppo. Al momento lo storage è progettato attorno all'idea che i siti possono utilizzare lo storage senza una richiesta, ma che il browser è libero di eliminarlo sotto pressione. Se il sito desidera uno spazio di archiviazione permanente, è necessario un prompt. Le API di archiviazione sono disabilitate negli iframe di terze parti quando i cookie di terze parti sono disabilitati. In futuro potremmo passare alla "doppia chiave" dell'origine in base all'origine della finestra di livello superiore (come ha fatto Safari) che isolerebbe ulteriormente la memorizzazione. In FF questo si chiama "isolamento di prima parte" e proviene dal progetto TOR.
Ben Kelly,
7
@Ben Kelly: non copre ancora il caso d'uso "consenti a tutti i siti Web di archiviare tutto per mantenere la funzionalità ma elimina automaticamente la memoria all'uscita del browser" Giusto? La navigazione privata non è nemmeno una buona soluzione poiché non conserva nulla (forse voglio ancora conservare la cronologia del mio browser o l'archiviazione per i siti di cui mi fido davvero. E no, non voglio passare sempre dalla navigazione normale a quella privata .)
manuel,
19
L'impostazione del cookie "elimina all'uscita" corretta non si applica a cose come IDB. Ho presentato un bug qui bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Credo che anche le nostre autorizzazioni generali UX vengano rielaborate, ma non sono sicuro che il tipo di restrizioni di archiviazione di cui si parla qui sia incluso o meno. Ho presentato un bug anche per quello: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Stiamo lavorando per migliorare queste funzionalità, ma è un processo incrementale. Ci scusiamo per i problemi.
Ben Kelly,
5

Modifica: leggi il commento di Ben Kelly prima di fare confusione con qualsiasi file nel tuo profilo.

Poiché non esiste una soluzione all'interno di Firefox, si può facilmente implementare una soluzione temporanea per questo al di fuori di Firefox. I file IndexedDB sono memorizzati nella directory <profile>/storage/default. Svuotando questa cartella (ad esempio tramite uno script pianificato) è possibile ripristinare il pieno controllo dei dati e per quanto tempo persiste. Dato che ogni sito Web è archiviato in una cartella separata, potresti persino implementare una lista bianca / lista nera o praticamente tutte le politiche che desideri, dato che hai una certa esperienza di programmazione.

Non è una buona soluzione e non ci sono scuse per gli sviluppatori di Firefox di continuare a rimandare una soluzione adeguata per questo. (I report sui bug esistono ormai da anni!)

E tieni presente che il formato e la posizione dei dati potrebbero cambiare nel tempo. Ad esempio, in una versione precedente, tutti i dati IndexedDB erano archiviati in un singolo file SQL.

manuel
fonte
2
Tieni presente che ciò può danneggiare il tuo profilo per determinati siti. Alcuni stati (come le registrazioni dei lavoratori dell'assistenza) sono memorizzati al di fuori di questa directory. I siti possono essere confusi se l'archiviazione viene rimossa, ma la registrazione del lavoratore del servizio rimane. La nostra nuova UX per la rimozione di "Site Data" verrà spedita a novembre ed è una soluzione migliore. Oppure, basta eseguire in modalità di navigazione privata che disabilita tutta la memoria.
Ben Kelly,
1
@BenKelly "... sono memorizzati al di fuori di questa directory." Cosa significa? Memorizzato dove? Come cancelliamo anche quella parte?
Giovanni 1024,
2
Non supportiamo modifiche arbitrarie alla directory del profilo. Se inizi a eliminare manualmente i contenuti, non stupirti se il tuo profilo viene danneggiato e i siti non funzionano correttamente. Non lo consiglio davvero. Alcune delle questioni sollevate dalla domanda originale qui vengono risolte mentre parliamo. Inoltre, la navigazione privata, i contenitori, ecc. Sono stati citati come soluzioni immediate. Ti preghiamo di non modificare manualmente il tuo profilo.
Ben Kelly,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.