220

Веб-сайт dropmail.me может успешно идентифицировать меня (и предлагать мои последние использованные временные почтовые адреса через "Восстановить доступ"), несмотря на следующие действия:

  • Удалить всю мою историю браузеров, которая включает в себя кэш, куки, настройки веб-сайта, историю загрузок, историю поиска, историю браузера и активные входы в систему. В основном все, что можно удалить через меню Firefox. Я использую Firefox 52 ESR.
  • Использовать VPN (который в соответствии с их требованиями защищен от утечки IPv6 и DNS), который я не использовал, когда посещал этот сайт ранее.
  • Использование uBlock Origin и uMatrix

Дополнительная информация:

  • Моя "личность" должна как-то быть привязана к моему текущему профилю браузера. Когда я использую другой браузер или новый профиль браузера, веб-сайт не идентифицирует меня как одного и того же человека. На самом деле, достаточно использовать Firefox addon Priv8 и создать новую песочницу, чтобы идентифицировать себя как другого человека. Это может указывать на то, что для Firefox существует некое хранилище для веб-сайтов, к которым нельзя получить доступ или удалить их. (Это не Flash-куки, сайт не использует Flash!)
  • (Обновление) Другие браузеры не затрагиваются. Microsoft Edge после удаления истории браузера не разрешает повторную идентификацию. Это проблема только Firefox!

Мои вопросы:

  • Как же они могут меня опознать? Поскольку их единственная мотивация для повторной идентификации меня заключается в том, чтобы предложить доступ к ранее использованным почтовым адресам, я не думаю, что они используют какие-либо "темные" методы, такие как дактилоскопия, но, конечно, это нельзя исключать.
  • Как я могу защитить от такого рода «супер-слежения», используемого этим сайтом?

3 ответа3

252

Сайт использует IndexedDB, для чего MDN пишет:

IndexedDB - это способ постоянного хранения данных в браузере пользователя. Поскольку он позволяет создавать веб-приложения с широкими возможностями запросов независимо от доступности сети, ваши приложения могут работать как в сети, так и в автономном режиме.

Не очищать это звучит как ошибка в Firefox действительно, но, видимо, разработчики считают иначе. Как и в марте 2015 года, кто-то написал:

Но даже когда вы удаляете всю свою историю, данные из IndexedDB сохраняются.

Правильный способ удалить эти данные - перейти по адресу about:permissions address, найти домен и нажать кнопку Forget About This Site .

Пока about:permissions не работают в моем Firefox 55, зайдя в Инструменты, Информация о странице, Разрешения я получаю кнопку "Очистить хранилище":

Диалог страницы информации

Хуже того, ни серое «Использовать по умолчанию: всегда спрашивать» в приведенном выше снимке экрана, ни включение «Сообщать вам, когда веб-сайт просит сохранить данные для автономного использования» в настройках "Дополнительно", "Сеть", не имеют никакого эффекта, чтобы избежать хранения :

Расширенные настройки

Похоже, что с августа 2011 года все еще может применяться (где «[только]» добавлен мной):

По умолчанию в Firefox 4 сайт может использовать до 50 МБ хранилища IndexedDB. [Только] Если он пытается использовать более 50 МБ, Firefox запросит у пользователя разрешение [...]

В Firefox для мобильных устройств (Google Android и Nokia Maemo) Firefox будет [только] запрашивать разрешение, если сайт пытается использовать более 5 МБ [...]

Чтобы полностью отключить его, перейдите в about:config и отключите dom.indexedDB.enabled . Тем не менее, имейте в виду, что это может повлиять и на плагины / надстройки, поэтому некоторые из них хотят удалить эту опцию, о которой кто-то заметил в мае 2016 года:

До тех пор, пока IndexedDB не будет обрабатываться так же, как и cookie, в отношении принятия / очистки и поведения третьих сторон, этот преф должен существовать.

(Можно также найти dom.storage.enabled интересным ...)

59

Как отметил Арджан , к сожалению, в настоящее время легко оставить установленные данные сайта. Это несколько улучшается с предпочтением редизайна UX в FF57.

Например, в разделе "Конфиденциальность и безопасность" теперь есть раздел "Данные сайта":

Переработано меню конфиденциальности и безопасности в Firefox 57

Нажав на "настройки" данных сайта, вы сможете удалить данные сайта для определенного источника:

Настройки - Данные сайта

Это удалит данные, хранящиеся в IDB, Cache API и т.д. Также будут удалены куки для источника:

Удаление данных сайта для определенного сайта

(Извините, что не сделал этот комментарий под ответом Арджана, но я хотел включить эти скриншоты.)

Отказ от ответственности: я сотрудник Mozilla

5

Изменить: Пожалуйста, прочитайте комментарий Бен Келли, прежде чем возиться с файлами в вашем профиле.


Поскольку внутри Firefox нет решения, можно легко внедрить временное исправление за пределами Firefox. Файлы IndexedDB хранятся в каталоге <profile>/storage/default . Очистив эту папку (например, через запланированный сценарий), вы можете восстановить полный контроль над вашими данными и тем, как долго они сохраняются. Поскольку каждый веб-сайт хранится в отдельной папке, вы можете даже внедрить белый / черный список или, в принципе, любую необходимую политику, если у вас есть некоторый опыт программирования.

Это не хорошее решение и нет оправдания для разработчиков Firefox продолжать откладывать правильное решение для этого. (Сообщения об ошибках существуют годами!)

И имейте в виду, что формат данных и их местоположение могут со временем меняться. Например, в предыдущей версии все данные IndexedDB хранились в одном файле SQL.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .