Como esse site pode me reconfigurar mesmo depois de excluir todo o histórico do meu navegador e usar uma VPN?

Navegue suas respostas
220

O site dropmail.me pode me reidentificar com sucesso (e oferecer meus últimos endereços de e-mail temporários via "Restaurar acesso". ) apesar de fazer o seguinte:

  • Exclui todo o histórico de meus navegadores, que inclui cache, cookies, configurações do site, histórico de download, histórico de pesquisa, histórico do navegador e logins ativos. Basicamente tudo o que pode ser deletado através do menu do Firefox. Estou usando o Firefox 52 ESR.
  • Use uma VPN (que, de acordo com suas declarações, é segura contra o vazamento de IPv6 e DNS) que não usei quando visitei este site anteriormente.
  • Usando o uBlock Origin e o uMatrix

Informações adicionais:

  • Minha "identidade" deve, de alguma forma, estar vinculada ao meu perfil atual do navegador. Quando uso um navegador diferente ou um novo perfil de navegador, o site não me identifica novamente como a mesma pessoa. Na verdade, é suficiente usar o addon do Firefox Priv8 e criar um novo sandbox ser identificado como uma pessoa diferente. Isso pode indicar que há algum tipo de armazenamento para sites que não podem ser acessados ou excluídos pelo Firefox. (Não é Flash cookies, o site não usa Flash!)
  • (atualização) Outros navegadores não são afetados. O Microsoft Edge, após excluir o histórico do navegador, não permite a reidentificação. Este é um problema apenas do Firefox!

Minhas perguntas são:

  • Como na terra eles podem me reidentificar? Como sua única motivação para me reidentificar é oferecer acesso a endereços de e-mail usados anteriormente, não acho que eles usem técnicas "sombrias" como impressões digitais, mas é claro que não pode ser descartada.
  • Como posso proteger deste tipo de "super rastreamento" usado por este site?
por manuel 16.09.2017 / 17:33

3 respostas

252

O site está usando o IndexedDB, para o qual o MDN escreve :

IndexedDB is a way for you to persistently store data inside a user's browser. Because it lets you create web applications with rich query abilities regardless of network availability, your applications can work both online and offline.

Não está claro se parece um bug no Firefox, mas aparentemente os desenvolvedores sentem o contrário. Como em março de 2015, alguém escreveu :

But even when you delete all your history information the data from IndexedDB persist.

The right way to delete this data is by going to about:permissions address, look for the domain and pressing the Forget About This Site button.

Enquanto about:permissions não funciona no meu Firefox 55, indo em Ferramentas, Informações da página, Permissões Eu recebo o botão "Limpar armazenamento":

Ainda pior, nem o cinza "Usar padrão: sempre perguntar" na captura de tela acima, nem a ativação "avisar quando um site pedir para armazenar dados para uso off-line" nas configurações, Avançado, Rede, tem algum efeito para evitar o armazenamento:

Pareceque os seguintes itens de agosto de 2011 ainda podem ser aplicados (onde "[somente ] "é adicionado por mim):

By default in Firefox 4, a site can use up to 50MB of IndexedDB storage. [Only] If it tries to use more than 50MB, Firefox will ask the user for permission [...]

In Firefox for mobile devices (Google Android and Nokia Maemo), Firefox will [only] ask for permission if a site tries to use more than 5MB [...]

Para desativá-lo, vá para about:config e desative dom.indexedDB.enabled . No entanto, tenha cuidado com o fato de que isso pode afetar plugins / complementos também, o que parece ser o motivo de alguns quererem remover essa opção, para a qual alguém anotado em maio de 2016 :

Until IndexedDB is handled in the same way as cookies with respect to accepting/clearing and third-party behavior, this pref should exist.

(Pode-se encontrar dom.storage.enabled interessante também ...)

    
por 16.09.2017 / 18:20
59

Como observado por Arjan , infelizmente é fácil deixar os dados do site instalados atualmente. Isso está melhorando um pouco com o redesenho de preferências do UX no FF57.

Por exemplo, em "Privacidade e segurança", há agora uma seção "Dados do site":

Aoclicarnosdadosdosite,as"configurações" permitirão que você remova os dados do site para uma origem específica:

IssoremoveráosdadosarmazenadosnoIDB,naAPIdecacheetc.Tambémremoverácookiesparaaorigem:

(Desculpepornãofazerissocomoumcomentárioem a resposta de Arjan , mas eu queria incluir essas imagens.)

Disclaimer: Eu sou um funcionário da Mozilla

    
por 17.09.2017 / 05:36
5

Editar: Por favor, leia o comentário de Ben Kelly antes de mexer com qualquer arquivo em seu perfil.

Como não há solução dentro do Firefox, é fácil implementar uma correção temporária para isso fora do Firefox. Os arquivos do IndexedDB são armazenados no diretório <profile>/storage/default . Ao esvaziar essa pasta (por exemplo, através de um script agendado), você pode recuperar o controle total dos dados e quanto tempo eles persistem. Como cada site é armazenado em uma pasta separada, você pode até mesmo implementar uma lista de permissões / lista negra ou, basicamente, todas as políticas desejadas, contanto que você tenha alguma experiência em programação.

Não é uma boa solução e não é desculpa para os desenvolvedores do Firefox continuarem adiando uma solução adequada para isso. (Bugreports existem há anos!)

E esteja ciente de que o formato e o local dos dados podem mudar com o tempo. Por exemplo, em uma versão anterior, todos os dados do IndexedDB eram armazenados em um único arquivo SQL.

    
por 17.09.2017 / 14:32

Tags

Pare o MS Word de selecionar mais do que eu quero Restaurar a sessão do tmux após a reinicialização