Como esse site pode me identificar novamente depois de excluir todo o histórico do meu navegador e usar uma VPN?

222

O site dropmail.me pode me identificar com êxito novamente (e oferecer meus últimos endereços de e-mail temporários usados ​​via. "Restaurar acesso"), apesar de fazer o seguinte:

  • Exclua todo o histórico do meu navegador, incluindo cache, cookies, configurações do site, histórico de downloads, histórico de pesquisas, histórico do navegador e logons ativos. Basicamente, tudo o que pode ser excluído através do menu Firefox. Estou usando o Firefox 52 ESR.
  • Use uma VPN (que, de acordo com as reivindicações deles, seja segura contra vazamentos de IPv6 e DNS) que não usei quando visitei este site anteriormente.
  • Usando o uBlock Origin e o uMatrix

Informação adicional:

  • De alguma forma, minha "identidade" deve estar vinculada ao meu perfil atual do navegador. Quando uso um navegador diferente ou um novo perfil, o site não me identifica como a mesma pessoa. Na verdade, é suficiente usar o Firefox addon Priv8 e criar uma nova sandbox para ser identificada como uma pessoa diferente. Isso pode indicar que existe algum tipo de armazenamento para sites que não podem ser acessados ​​ou excluídos pelo Firefox. (Não são cookies Flash, o site não usa Flash!)
  • (Atualização) Outros navegadores não são afetados. O Microsoft Edge, após excluir o histórico do navegador, não permite a reidentificação. Este é um problema apenas do Firefox!

Minhas perguntas são:

  • Como diabos eles são capazes de me identificar novamente? Como a única motivação deles para me identificar novamente é oferecer acesso a endereços de e-mail usados ​​anteriormente, não acho que eles usem técnicas "obscuras", como impressões digitais, mas é claro que não pode ser descartada.
  • Como posso me proteger desse tipo de "super-rastreamento" usado por este site?
manuel
fonte
6
Use o modo de navegação anônima ao visitar. O Chrome e o IE possuem, tenho certeza que o Firefox também.
precisa saber é o seguinte
5
@ Applepoddity: Sim, o modo de navegação anônima ajuda, mas até onde eu entendo isso apenas impede que os sites armazenem ou leiam o histórico do navegador etc. Então, quando eu excluo tudo, isso deve ter o mesmo efeito, mas não. Talvez um bug no Firefox?
manuel
22
Eu suspeito fortemente o mal que está Evercookie
Primeiro-
2
@Prime, neste mesmo caso, não é. Manuel está certo: "Como a única motivação deles para me identificar novamente é oferecer acesso a endereços de e-mail usados ​​anteriormente, não acho que eles usem técnicas" sombrias "" e espiando o código, você verá que eles estão simplesmente usando o padrão tecnologia web. O Firefox é o culpado aqui, neste caso específico.
Arjan
9
Mesmo limpando tudo ainda não irá proteger contra fingerprinting
o11c

Respostas:

253

O site está usando o IndexedDB, para o qual o MDN escreve :

O IndexedDB é uma maneira de armazenar dados persistentemente no navegador do usuário. Como permite criar aplicativos da Web com recursos avançados de consulta, independentemente da disponibilidade da rede, seus aplicativos podem funcionar online e offline.

Não limpar isso soa como um bug no Firefox, mas aparentemente os desenvolvedores sentem o contrário. Como em março de 2015, alguém escreveu :

Mas mesmo quando você exclui todas as informações do seu histórico, os dados do IndexedDB persistem.

A maneira correta de excluir esses dados é acessando about:permissions, procurando o domínio e pressionando o Forget About This Sitebotão

Embora about:permissionsnão funcione no meu Firefox 55, entrando em Ferramentas, Informações da página, Permissões, obtenho o botão "Limpar armazenamento":

Caixa de diálogo Informações da página

Pior ainda, nem a opção "Usar padrão: sempre perguntar" na captura de tela acima nem habilitar "Avisar quando um site pede para armazenar dados para uso offline" nas configurações Avançado, Rede têm qualquer efeito para evitar o armazenamento :

Configurações avançadas

Parece que o seguinte a partir de agosto de 2011 ainda pode ser aplicado (onde "[apenas]" foi adicionado por mim):

Por padrão no Firefox 4, um site pode usar até 50 MB de armazenamento do IndexedDB. [Somente] Se tentar usar mais de 50 MB, o Firefox solicitará permissão ao usuário [...]

No Firefox para dispositivos móveis (Google Android e Nokia Maemo), o Firefox [somente] solicitará permissão se um site tentar usar mais de 5 MB [...]

Para desativá-lo completamente, vá para about:confige desative dom.indexedDB.enabled. No entanto, lembre-se de que isso também pode afetar plug-ins / complementos, o que parece ser o motivo pelo qual alguns desejam remover essa opção, pela qual alguém observou em maio de 2016 :

Até que o IndexedDB seja tratado da mesma maneira que os cookies em relação à aceitação / limpeza e comportamento de terceiros, esse pref deve existir.

(Pode-se achar dom.storage.enabledinteressante também ...)

Arjan
fonte
153
De fato. Uau. Isso é grande coisa. Eu não havia agora uma brecha no navegador que está "obcecada em proteger sua privacidade" .
manuel
23
Desativá-lo até quebra o site mencionado anteriormente e provavelmente outros sites também. Vamos esperar que a Mozilla dê uma segunda olhada nisso. Uma solução pode ser excluir esse armazenamento depois de fechar o navegador e apenas o site selecionado em que confio pode ter seu armazenamento permanente. (esta é a maneira que eu lidar com os cookies no momento)
manuel
10
A mídia alemã menciona este tópico: heise.de/-3835084
StanE 19/09/17
27
Sempre foi profundamente estúpido que a Mozilla trate o IndexedDB de maneira diferente dos cookies. Ainda é descaradamente um tipo de biscoito. O protocolo é diferente, mas claramente se eu quiser bloquear ou excluir todos os cookies, não me importo com o protocolo. Infelizmente, a prática da Mozilla é sempre "adicionar recursos agora, resolver as implicações de privacidade daqui a alguns anos, se for o caso". @manuel Tente percorrer about: config algum tempo. Há realmente muitas coisas assustadoras incorporadas ao Firefox e ativadas por padrão. A suposta postura pró-privacidade da Mozilla é puro marketing e nada mais.
Boann
59

Como observado por Arjan , infelizmente, é fácil deixar os dados do site atualmente instalados. Isso está melhorando um pouco com a preferência de reprojetar o UX no FF57.

Por exemplo, em "Privacidade e segurança", agora existe uma seção "Dados do site":

Menu Privacidade e segurança redesenhado no Firefox 57

Clicar nas "configurações" dos dados do site permitirá remover os dados do site para uma origem específica:

Configurações - Dados do Site

Isso removerá os dados armazenados no BID, na API de cache etc. Também removerá os cookies da origem:

Removendo dados do site para um site específico

(Desculpe por não fazer um comentário na resposta de Arjan , mas eu queria incluir essas capturas de tela.)

Disclaimer: Eu sou um funcionário da Mozilla

Ben Kelly
fonte
4
Alguma idéia se você também está planejando solicitar ao usuário permissão para armazenar os dados, mesmo que seja apenas um pouco? (Li em algum lugar que, para sites de terceiros, a configuração "permitir cookies de terceiros" também se aplica ao IndexedDB, mas ainda não testei. A configuração "Conteúdo off-line da Web e dados do usuário" é bastante enganadora, Eu sinto, pois aparentemente não se aplica ao IndexedDB.
Arjan
Meu comentário sobre o comentário "não é nada para todas as armas desta origem" estava errado. Na verdade, ele também exclui os cookies. Vou atualizar a resposta para refletir isso.
Ben Kelly
8
É um equilíbrio difícil entre solicitar quando apropriado e solicitar demais. No momento, o armazenamento é projetado em torno da ideia de que os sites podem usá-lo sem aviso, mas que o navegador é livre para excluí-lo sob pressão. Se o site deseja armazenamento persistente, eles precisam de um prompt. As APIs de armazenamento são desativadas em iframes de terceiros quando os cookies de terceiros são desativados. No futuro, podemos passar para a "digitação dupla" da origem com base na origem da janela de nível superior (como o safari fez) que isolaria ainda mais o armazenamento. No FF, isso é chamado de "isolamento inicial" e vem do projeto TOR.
Ben Kelly
7
@ Ben Kelly: Ele ainda não cobre o caso de uso "permite que todos os sites armazenem tudo para manter a funcionalidade, mas excluem automaticamente o armazenamento na saída do navegador" Certo? A navegação privada não é uma solução agradável, já que não mantém nada (talvez eu ainda queira manter o histórico ou o armazenamento do navegador de sites em que realmente confio. E não, não quero alternar entre a navegação normal e a privada o tempo todo .)
manuel
19
Você está corrigindo a configuração de cookie "excluir na saída" não se aplica a coisas como o BID. Arquivei um bug aqui bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Acredito que nossas permissões gerais de UX também estão sendo reformuladas, mas não tenho certeza de que o tipo de restrições de armazenamento discutidas aqui esteja incluído ou não. Também registrei um bug para isso: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Estamos trabalhando para melhorar esses recursos, mas é um processo incremental. Desculpe pelos problemas.
Ben Kelly
5

Editar: Por favor, leia o comentário de Ben Kelly antes de mexer com qualquer arquivo em seu perfil.


Como não há solução dentro do Firefox, é possível implementar facilmente uma correção temporária para isso fora do Firefox. Arquivos IndexedDB são armazenados no diretório <profile>/storage/default. Esvaziando esta pasta (por exemplo, por meio de um script agendado), você pode recuperar o controle total sobre seus dados e por quanto tempo eles persistem. Como cada site é armazenado em uma pasta separada, você pode implementar uma lista de permissões / lista negra ou basicamente todas as políticas que desejar, desde que tenha alguma experiência em programação.

Não é uma solução agradável e não há desculpa para os desenvolvedores do Firefox continuarem a adiar uma solução adequada para isso. (Os relatórios de bugs existem há anos!)

E lembre-se de que o formato e o local dos dados podem mudar com o tempo. Por exemplo, em uma versão anterior, todos os dados do IndexedDB eram armazenados em um único arquivo SQL.

manuel
fonte
2
Observe que isso pode corromper seu perfil para determinados sites. Alguns estados (como registros de prestadores de serviços) são armazenados fora deste diretório. Os sites podem ficar confusos se o armazenamento for removido, mas o registro do técnico de serviço permanece. Nosso novo UX de remoção de "Site Data" será lançado em novembro e é uma solução melhor. Ou, basta executar no modo de navegação privada que desativa todo o armazenamento.
Ben Kelly
1
@BenKelly "... são armazenados fora deste diretório." O que isso significa? Armazenado onde? Como excluímos essa parte também?
precisa saber é o seguinte
2
Não oferecemos suporte a alterações arbitrárias no diretório de perfis. Se você começar a excluir manualmente as coisas, não se surpreenda se o seu perfil for corrompido e os sites não funcionarem corretamente. Eu realmente não recomendo. Algumas das questões levantadas pela pergunta original aqui estão sendo corrigidas enquanto falamos. Além disso, navegação privada, contêineres etc. foram mencionados como soluções imediatas. Por favor, não modifique manualmente seu perfil.
Ben Kelly