Pregunta ¿Cómo puede este sitio web volver a identificarme incluso después de eliminar todo el historial de mi navegador y usar una VPN?


El sitio web dropmail.me puede volver a identificarme con éxito (y ofrecer mis últimas direcciones de correo temporal usadas a través de "Restaurar acceso") a pesar de hacer lo siguiente:

  • Borre todo el historial de mi navegador, que incluye el caché, las cookies, la configuración del sitio web, el historial de descargas, el historial de búsqueda, el historial del navegador y los inicios de sesión activos. Básicamente todo lo que se puede eliminar a través del menú de Firefox. Estoy usando Firefox 52 ESR.
  • Use una VPN (que según sus afirmaciones es segura contra IPv6 y fuga de DNS) que no he usado cuando visité este sitio web.
  • Usando uBlock Origin y uMatrix

Información Adicional:

  • Mi "identidad" debe vincularse de algún modo con mi perfil actual del navegador. Cuando uso un navegador diferente o un nuevo perfil de navegador, el sitio web no me identifica de nuevo como la misma persona. En realidad, es suficiente usar el complemento de Firefox Priv8 y crea un nuevo salvadera ser identificado como una persona diferente. Esto podría indicar que hay algún tipo de almacenamiento para sitios web a los que no se puede acceder ni eliminar a través de Firefox. (¡No son cookies Flash, el sitio web no usa Flash!)
  • (Actualización) Otros navegadores no se ven afectados. Microsoft Edge, después de eliminar el historial del navegador, no permite la reidentificación. Este es un problema solo de Firefox!

Mis preguntas son:

  • ¿Cómo demonios pueden volver a identificarme? Dado que su única motivación para volver a identificarme es ofrecer acceso a las direcciones de correo utilizadas anteriormente, no creo que utilicen técnicas "oscuras" como la toma de huellas dactilares, pero, por supuesto, no se puede descartar.
  • ¿Cómo puedo protegerme de este tipo de "super-seguimiento" utilizado por este sitio web?

219


origen


Use el modo incógnito cuando lo visite. Chrome y IE lo tienen, estoy seguro de que Firefox también lo hace. - Appleoddity
@Appleoddity: Sí, el modo de incógnito ayuda, pero hasta donde yo entiendo esto solo evita que los sitios web almacenen o lean el historial del navegador, etc. Por lo tanto, cuando elimino todo esto debería tener el mismo efecto, pero no es así. Tal vez un error en Firefox? - manuel
Sospecho fuertemente del mal que es evercookie - Prime
@Prime, en este caso no lo es. Manuel tiene razón: "Dado que su única motivación para volver a identificarme es ofrecer acceso a las direcciones de correo utilizadas anteriormente, no creo que utilicen técnicas" oscuras ". y al leer el código, verán que simplemente están usando tecnología web estándar. Firefox tiene la culpa aquí, en este caso específico. - Arjan
Incluso despejando todo Todavía no protegerá contra huella dactilar - o11c


Respuestas:


El sitio web usa IndexedDB, para lo cual MDN escribe:

IndexedDB es una forma de almacenar datos de forma persistente dentro del navegador de un usuario. Debido a que le permite crear aplicaciones web con amplias capacidades de consulta, independientemente de la disponibilidad de la red, sus aplicaciones pueden funcionar tanto en línea como fuera de línea.

No borrarlo parece un error en Firefox, pero aparentemente los desarrolladores piensan lo contrario. Como en marzo de 2015, alguien escribió:

Pero incluso cuando elimina toda su información de historial, los datos de IndexedDB persisten.

La forma correcta de eliminar estos datos es ir a about:permissions dirección, busque el dominio y presione Forget About This Site botón.

Mientras about:permissions no funciona en mi Firefox 55, yendo a Herramientas, Información de página, Permisos Obtengo el botón "Borrar almacenamiento":

Page Info dialog

Peor aún, ni el grisáceo "Usar predeterminado: Preguntar siempre" en la captura de pantalla anterior, ni habilitar "Te digo cuando un sitio web solicita almacenar datos para su uso fuera de línea" en la configuración, Avanzado, Red, tiene algún efecto para evitar el almacenamiento:

Advanced settings

Parece lo siguiente desde agosto de 2011 puede aplicarse aún (donde "yo agregué [solo]"):

Por defecto en Firefox 4, un sitio puede usar hasta 50MB de almacenamiento IndexedDB. [Solo] Si trata de usar más de 50MB, Firefox le pedirá permiso al usuario [...]

En Firefox para dispositivos móviles (Google Android y Nokia Maemo), Firefox [solo] pedirá permiso si un sitio intenta usar más de 5MB [...]

Para deshabilitarlo por completo, ve a about:config y deshabilitar dom.indexedDB.enabled. Sin embargo, tenga en cuenta que esto también podría afectar a los complementos / complementos, lo que parece ser el motivo por el que algunos quieren eliminar esa opción, para lo cual alguien se dio cuenta en mayo de 2016:

Hasta que IndexedDB se maneje de la misma manera que las cookies con respecto a aceptación / limpieza y comportamiento de terceros, este pref debería existir.

(Uno puede encontrar dom.storage.enabled interesante también ...)


251



En efecto. Guau. Eso es un gran problema. No lo hice ahora, hay una laguna en el navegador que es "obsesionado con proteger tu privacidad". - manuel
Deshabilitarlo incluso rompe el sitio web mencionado anteriormente, y probablemente también otros sitios web. Esperemos que Mozilla lo revise por segunda vez. Una solución podría ser eliminar este almacenamiento después de cerrar el navegador y solo el sitio seleccionado, que confío que puede tener su almacenamiento permanente. (esta es la forma en que manejo las cookies en este momento) - manuel
Ver también, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
Los medios alemanes mencionan este tema: heise.de/-3835084 - StanE
Siempre ha sido profundamente estúpido que Mozilla trate IndexedDB de forma diferente a las cookies. Todavía es descaradamente una especie de galleta. El protocolo es diferente, pero claramente, si quiero bloquear o eliminar todas las cookies, no me importa el protocolo. Desafortunadamente, la práctica de Mozilla siempre es "agregar funciones ahora, resolver las implicaciones de privacidad en años, si es que alguna vez". @manuel Intenta vadear por: config time. Realmente hay muchas cosas aterradoras integradas en Firefox y habilitadas por defecto. La supuesta postura de privacidad de Mozilla es marketing puro, y nada más. - Boann


Como lo señaló Arjan desafortunadamente es fácil dejar los datos del sitio instalados actualmente. Esto está mejorando un poco con el rediseño UX de preferencia en FF57.

Por ejemplo, en "Privacidad y seguridad" ahora hay una sección de "Datos del sitio":

Redesigned Privacy & Security menu in Firefox 57

Al hacer clic en la "configuración" de datos del sitio, podrá eliminar los datos del sitio para un origen específico:

Settings - Site Data

Esto eliminará los datos almacenados en IDB, API de caché, etc. También eliminará las cookies para el origen:

Removing site data for a specific site

(Perdón por no hacer este comentario en La respuesta de Arjan, pero quería incluir estas capturas de pantalla.)

Descargo de responsabilidad: soy un empleado de Mozilla


59



¿Alguna idea de si también está planeando solicitar al usuario permiso para almacenar los datos para empezar, incluso si solo es un bit? (He leído en alguna parte que para sitios de terceros la configuración para "permitir cookies de terceros" también se aplica a IndexedDB, pero no lo he probado). La configuración de "Contenido web fuera de línea y datos de usuario" es bastante engañosa, Siento que, al parecer, no se aplica a IndexedDB. - Arjan
Mi comentario sobre su comentario "no es un arma nuclear, todo por este origen" fue incorrecto. En realidad, elimina las cookies también. Actualizaré la respuesta para reflejar esto. - Ben Kelly
Es un equilibrio difícil entre pedir pautas cuando es apropiado y provocar demasiado. En este momento, el almacenamiento está diseñado alrededor de la idea de que los sitios pueden usar el almacenamiento sin un aviso, pero que el navegador puede borrarlo bajo presión. Si el sitio quiere un almacenamiento persistente, entonces necesitan un aviso. Las API de almacenamiento están inhabilitadas en iframes de terceros cuando las cookies de terceros están deshabilitadas. En el futuro, podemos pasar a "duplicar" el origen en función del origen de la ventana de nivel superior (como Safari lo ha hecho), lo que aislaría aún más el almacenamiento. En FF esto se llama "aislamiento en el primer partido" y proviene del proyecto TOR. - Ben Kelly
@Ben Kelly: Todavía no cubre el caso de uso "permite que cada sitio web almacene todo para mantener la funcionalidad, pero elimina automáticamente el almacenamiento al salir del navegador" ¿Correcto? La navegación privada tampoco es una buena solución, ya que no conserva nada (quizás aún quiera conservar el historial o el almacenamiento de mi navegador para los sitios en los que realmente confío. Y no, no quiero cambiar entre navegación normal y privada todo el tiempo). .) - manuel
Está correcto que la configuración de cookies "eliminar al salir" no se aplica a cosas como el BID. Archivé un error aquí bugzilla.mozilla.org/show_bug.cgi?id=1400678. Creo que nuestro UX de permisos generales también se está revisando, pero no estoy seguro de que el tipo de restricciones de almacenamiento de las que se habla aquí estén incluidas o no. Archivé un error para eso también: bugzilla.mozilla.org/show_bug.cgi?id=1400679. Estamos trabajando para mejorar estas características, pero es un proceso incremental. Perdón por los problemas. - Ben Kelly


Editar: Por favor, lea el comentario de Ben Kelly antes de meterse con cualquier archivo en su perfil.


Dado que no hay solución dentro de Firefox, uno puede implementar fácilmente una solución temporal para esto fuera de Firefox. Los archivos IndexedDB se almacenan en el directorio <profile>/storage/default. Al vaciar esta carpeta (por ejemplo, a través de un script programado) puede recuperar el control total sobre sus datos y cuánto tiempo persiste. Dado que cada sitio web se almacena en una carpeta separada, incluso puede implementar una lista blanca / lista negra o básicamente todas las políticas que desee, dado que tiene alguna experiencia en programación.

No es una buena solución ni una excusa para que los desarrolladores de Firefox continúen posponiendo una solución adecuada para esto. (¡Los errores existen desde hace años!)

Y tenga en cuenta que el formato y la ubicación de los datos pueden cambiar con el tiempo. Por ejemplo, en una versión anterior, todos los datos IndexedDB se almacenaban en un único archivo SQL.


5



Tenga en cuenta que esto puede dañar su perfil para ciertos sitios. Algunos estados (como registros de trabajadores de servicios) se almacenan fuera de este directorio. Los sitios pueden confundirse si se elimina el almacenamiento, pero el registro del trabajador del servicio permanece. Nuestro nuevo UX de eliminación de "Datos del sitio" se envía en noviembre y es una solución mejor. O simplemente ejecute el modo de navegación privada que desactiva todo el almacenamiento. - Ben Kelly
@BenKelly "... están almacenados fuera de este directorio".  Qué significa eso? Almacenado donde? ¿Cómo eliminamos esa parte también? - John1024
No admitimos cambios arbitrarios en el directorio de perfil. Si comienza a eliminar material manualmente, no se sorprenda si su perfil se daña y los sitios no funcionan correctamente. Realmente no lo recomiendo Algunas de las cuestiones planteadas por la pregunta original aquí se resuelven mientras hablamos. Además, la navegación privada, los contenedores, etc. se han mencionado como soluciones inmediatas. Por favor no modifique su perfil a mano. - Ben Kelly