Как этот веб-сайт может идентифицировать меня даже после удаления всей истории моего браузера и использования VPN?

Веб-сайт https://dropmail.me/en/ может успешно идентифицировать меня (и предлагать мои последние использованные временные почтовые адреса через "Восстановить доступ"), несмотря на следующие действия:

  • Удалить всю мою историю браузеров, которая включает в себя кеш, куки, настройки веб-сайта, историю загрузок, историю поиска, историю браузера и активные входы в систему. В основном все, что можно удалить через меню Firefox. Я использую Firefox 52 ESR.
  • Использовать VPN (который в соответствии с их требованиями защищен от утечки IPv6 и DNS), который я не использовал, когда посещал этот сайт ранее.
  • Использование uBlock Origin и uMatrix

Дополнительная информация:

  • Моя "личность" должна как-то быть привязана к моему текущему профилю браузера. Когда я использую другой браузер или новый профиль браузера, веб-сайт не идентифицирует меня как одного и того же человека. На самом деле, достаточно использовать дополнение Firefox Priv8 и создать новую песочницу, чтобы идентифицировать себя как другого человека. Это может указывать на то, что для Firefox существует некое хранилище для веб-сайтов, к которым нельзя получить доступ или удалить их. (Это не Flash-куки, сайт не использует Flash!)
  • (Обновление) Другие браузеры не затрагиваются. Microsoft Edge после удаления истории браузера не разрешает повторную идентификацию. Это проблема только Firefox!

Мои вопросы:

  • Как же они могут меня опознать? Поскольку их единственная мотивация для повторной идентификации меня заключается в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо "темные" методы, такие как дактилоскопия, но, конечно, это нельзя исключать.
  • Как я могу защитить от такого рода "супер-слежения", используемого этим сайтом?

3 ответа

Решение

Сайт использует IndexedDB, для чего MDN пишет:

IndexedDB - это способ постоянного хранения данных в браузере пользователя. Поскольку он позволяет создавать веб-приложения с широкими возможностями запросов независимо от доступности сети, ваши приложения могут работать как в сети, так и в автономном режиме.

Не очищать это звучит как ошибка в Firefox действительно, но, видимо, разработчики считают иначе. Как и в марте 2015 года, кто-то написал:

Но даже когда вы удаляете всю свою историю, данные из IndexedDB сохраняются.

Правильный способ удалить эти данные, перейдя в about:permissions адрес, найдите домен и нажав Forget About This Site кнопка.

В то время как about:permissions не работает в моем Firefox 55, зайдя в Инструменты, Информация о странице, Разрешения Я получаю кнопку "Очистить хранилище":

Хуже того, ни серое "Использовать по умолчанию: всегда спрашивать" в приведенном выше снимке экрана, ни включение "Сообщать вам, когда веб-сайт просит сохранить данные для автономного использования" в настройках "Дополнительно", "Сеть", не имеют никакого эффекта, чтобы избежать хранения:

Похоже, что с августа 2011 года все еще может быть применимо (где я добавил "только"):

По умолчанию в Firefox 4 сайт может использовать до 50 МБ хранилища IndexedDB. [Только] Если он пытается использовать более 50 МБ, Firefox запросит у пользователя разрешение [...]

В Firefox для мобильных устройств (Google Android и Nokia Maemo) Firefox будет [только] запрашивать разрешение, если сайт пытается использовать более 5 МБ [...]

Чтобы отключить его, перейдите на about:config и отключить dom.indexedDB.enabled, Однако следует помнить, что это может повлиять и на плагины / надстройки, поэтому некоторые, возможно, хотят удалить эту опцию, о которой кто-то заметил в мае 2016 года:

До тех пор, пока IndexedDB не будет обрабатываться так же, как и cookie, в отношении принятия / очистки и поведения третьих сторон, этот преф должен существовать.

(Можно найти dom.storage.enabled тоже интересно...)

Как отметил Арджан, к сожалению, на данный момент легко оставить установленные данные сайта. Это несколько улучшается с предпочтением редизайна UX в FF57.

Например, в разделе "Конфиденциальность и безопасность" теперь есть раздел "Данные сайта":

Нажав на "Настройки" данных сайта, вы сможете удалить данные сайта для определенного источника:

Это удалит данные, хранящиеся в IDB, Cache API и т. Д. Также удалит файлы cookie для источника:

(Извините, что не сделал этот комментарий под ответом Арджана, но я хотел включить эти скриншоты.)

Отказ от ответственности: я сотрудник Mozilla

Изменить: Пожалуйста, прочитайте комментарий Бена Келли, прежде чем возиться с файлами в вашем профиле.


Поскольку внутри Firefox нет решения, можно легко внедрить временное исправление за пределами Firefox. Файлы IndexedDB хранятся в каталоге <profile>/storage/default, Очистив эту папку (например, через запланированный сценарий), вы можете восстановить полный контроль над вашими данными и тем, как долго они сохраняются. Поскольку каждый веб-сайт хранится в отдельной папке, вы можете даже внедрить белый / черный список или, в основном, любую политику, которую хотите, учитывая, что у вас есть некоторый опыт программирования.

Это не хорошее решение и нет оправдания для разработчиков Firefox продолжать откладывать правильное решение для этого. (Отчеты об ошибках существуют уже много лет!)

И имейте в виду, что формат данных и их местоположение могут со временем меняться. Например, в предыдущей версии все данные IndexedDB хранились в одном файле SQL.

Другие вопросы по тегам