Frage Wie kann diese Website mich wieder identifizieren, nachdem ich den gesamten Verlauf meines Browsers gelöscht und ein VPN verwendet habe?


Die Webseite dropmail.me ist in der Lage, mich erfolgreich zu identifizieren (und meine zuletzt verwendeten temporären Mail-Adressen über "Zugriff wiederherstellen") anzubieten, obwohl ich Folgendes getan habe:

  • Löschen Sie alle meine Browser-Verlauf, einschließlich Cache, Cookies, Website-Einstellungen, Download-Verlauf, Suchverlauf, Browser-Verlauf und aktive Logins. Grundsätzlich alles, was über das Firefox-Menü gelöscht werden kann. Ich benutze Firefox 52 ESR.
  • Verwenden Sie ein VPN (das gemäß ihren Ansprüchen sicher gegen IPv6 und DNS ist), das ich nicht verwendet habe, als ich diese Website zuvor besuchte.
  • Verwenden von uBlock Origin und uMatrix

Zusätzliche Information:

  • Meine "Identität" muss irgendwie an mein aktuelles Browserprofil gebunden sein. Wenn ich einen anderen Browser oder ein neues Browserprofil verwende, identifiziert mich die Website nicht als dieselbe Person. Eigentlich ist es ausreichend das Firefox Addon zu benutzen Priv8 und erstelle ein neues Sandkasten als eine andere Person identifiziert werden. Dies könnte darauf hindeuten, dass es eine Art von Speicher für Websites gibt, auf die nicht über Firefox zugegriffen oder diese gelöscht werden können. (Es handelt sich nicht um Flash-Cookies, die Website verwendet kein Flash!)
  • (Update) Andere Browser sind nicht betroffen. Microsoft Edge erlaubt nach dem Löschen des Browserverlaufs keine erneute Identifizierung. Dies ist ein Firefox-Problem!

Meine Fragen sind:

  • Wie um alles in der Welt können sie mich wieder erkennen? Da ihre einzige Motivation, mich erneut zu identifizieren, darin besteht, Zugang zu früher verwendeten Mail-Adressen zu bieten, glaube ich nicht, dass sie irgendwelche "dunklen" Techniken wie Fingerabdrücke verwenden, aber natürlich kann es nicht ausgeschlossen werden.
  • Wie kann ich vor dieser Art von "Super-Tracking" schützen, die von dieser Website verwendet wird?

219
2017-09-16 15:33


Ursprung


Verwenden Sie den Inkognito-Modus beim Besuch. Chrome und IE hat es, ich bin mir sicher, Firefox tut es auch. - Appleoddity
@Appleoddity: Ja, der Inkognito-Modus hilft, aber soweit ich verstehe, verhindert das nur, dass Webseiten den Browserverlauf speichern oder lesen. Wenn ich also alles lösche, sollte das den gleichen Effekt haben, aber nicht. Vielleicht ein Bug in Firefox? - manuel
Ich vermute stark das Böse, das ist evercookie - Prime
@Prime, in diesem Fall ist es nicht. Manuel hat Recht: "Da ihre einzige Motivation, mich erneut zu identifizieren, darin besteht, Zugang zu früher benutzten Mail-Adressen anzubieten, glaube ich nicht, dass sie irgendwelche" dunklen "Techniken verwenden." Wenn Sie in den Code schauen, sehen Sie, dass sie einfach die Standard-Webtechnologie verwenden. Firefox ist hier schuld, in diesem speziellen Fall. - Arjan
Sogar Clearing alles schützt immer noch nicht vor Fingerabdruck - o11c


Antworten:


Die Website verwendet IndexedDB, für die MDN schreibt:

IndexedDB ist eine Möglichkeit für Sie, Daten im Browser eines Benutzers dauerhaft zu speichern. Da Sie Webanwendungen unabhängig von der Netzwerkverfügbarkeit mit umfangreichen Abfragefunktionen erstellen können, können Ihre Anwendungen sowohl online als auch offline arbeiten.

Nicht zu löschen klingt in der Tat wie ein Bug in Firefox, aber anscheinend fühlen sich die Entwickler anders. Wie im März 2015, jemand hat geschrieben:

Aber auch wenn Sie alle Ihre Verlaufsdaten löschen, bleiben die Daten von IndexedDB bestehen.

Der richtige Weg, um diese Daten zu löschen, ist, zu gehen about:permissions Adresse, suchen Sie nach der Domain und drücken Sie die Forget About This Site Taste.

Während about:permissions funktioniert nicht in meinem Firefox 55, gehe in Extras, Seiteninfo, Berechtigungen Ich erhalte den Button "Speicher löschen":

Page Info dialog

Noch schlimmer, weder das Graue noch das Graue "Standard verwenden: Immer fragen" in der obigen Bildschirmaufnahme, noch aktivieren "Ich erkläre Ihnen, wenn eine Website nach Daten zur Offline-Nutzung fragt" In den Einstellungen "Erweitert", "Netzwerk", können Sie Speicher vermeiden:

Advanced settings

Es scheint das Folgende ab August 2011 kann immer noch gelten (wobei "[nur]" von mir hinzugefügt wird):

In Firefox 4 kann eine Site standardmäßig bis zu 50 MB IndexedDB-Speicher verwenden. [Nur] Wenn es versucht, mehr als 50 MB zu verwenden, wird Firefox den Benutzer um Erlaubnis fragen [...]

In Firefox für mobile Geräte (Google Android und Nokia Maemo) wird Firefox [nur] um Erlaubnis fragen, wenn eine Website versucht, mehr als 5 MB [...]

Um es vollständig zu deaktivieren, gehen Sie zu about:config und deaktivieren dom.indexedDB.enabled. Beachten Sie jedoch, dass dies auch Auswirkungen auf Plugins / Add-Ons haben kann, weshalb einige diese Option möglicherweise entfernen möchten jemand hat im Mai 2016 bemerkt:

Solange IndexedDB nicht in gleicher Weise wie Cookies in Bezug auf das Akzeptieren / Löschen und Verhalten von Drittanbietern behandelt wird, sollte diese Präferenz bestehen.

(Man kann finden dom.storage.enabled interessant auch ...)


251
2017-09-16 16:20



Tatsächlich. Beeindruckend. Das ist eine große Sache. Ich habe jetzt nicht so eine Lücke im Browser, die ist "besessen davon, deine Privatsphäre zu schützen". - manuel
Die Deaktivierung unterbricht sogar die oben erwähnte Website und wahrscheinlich auch andere Websites. Hoffen wir, dass Mozilla sich das noch einmal ansehen wird. Eine Lösung könnte sein, diesen Speicher zu löschen, nachdem ich meinen Browser geschlossen habe, und nur die ausgewählte Site, der ich vertraue, kann ihren permanenten Speicher haben. (So ​​gehe ich im Moment mit Cookies um) - manuel
Siehe auch, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
Die deutschen Medien erwähnen dieses Thema: heise.de/3835084 - StanE
Es war immer zutiefst dumm, dass Mozilla IndexedDB anders als Cookies behandelt. Es ist immer noch offensichtlich eine Art Keks. Das Protokoll ist anders, aber klar, wenn ich alle Plätzchen blockieren oder löschen möchte, interessiere ich mich nicht für das Protokoll. Leider ist Mozillas Praxis immer "fügen Sie jetzt Funktionen hinzu, sortieren Sie die Datenschutzimplikationen von jetzt an aus, wenn überhaupt". @manuel Versuche, etwas über: config zu waten. Es gibt wirklich viele gruselige Dinge in Firefox integriert und standardmäßig aktiviert. Mozillas angebliche Privatsphäre-Haltung ist reines Marketing und nichts mehr. - Boann


Wie von Arjan bemerkt Es ist leider einfach, die aktuell installierten Site-Daten zu behalten. Dies verbessert sich etwas mit dem bevorzugten UX-Redesign in FF57.

Zum Beispiel gibt es unter "Datenschutz und Sicherheit" jetzt einen Abschnitt "Site-Daten":

Redesigned Privacy & Security menu in Firefox 57

Wenn Sie auf die Site-Daten "Einstellungen" klicken, können Sie Site-Daten für einen bestimmten Ursprung löschen:

Settings - Site Data

Dadurch werden Daten gelöscht, die in IDB, Cache-API usw. gespeichert sind. Außerdem werden Cookies für den Ursprung entfernt:

Removing site data for a specific site

(Tut mir leid, dass ich dies nicht zu einem Kommentar gemacht habe Arjans Antwort, aber ich wollte diese Screenshots einfügen.)

Haftungsausschluss: Ich bin ein Mozilla-Mitarbeiter


59
2017-09-17 03:36



Irgendeine Idee, wenn Sie auch planen, den Benutzer tatsächlich dazu aufzufordern, die Daten zunächst zu speichern, auch wenn es nur ein einzelnes Bit ist? (Ich habe irgendwo gelesen, dass für Websites von Drittanbietern die Einstellung für "Cookies von Drittanbietern zulassen" auch für IndexedDB gilt, aber ich habe das nicht getestet.) Die Einstellung "Offline-Webinhalt und Benutzerdaten" ist ziemlich trügerisch. Ich denke, das trifft offenbar nicht auf IndexedDB zu. - Arjan
Mein Kommentar über den Kommentar "Keine Nuke alles für diesen Ursprung" war falsch. Es löscht tatsächlich auch Cookies. Ich werde die Antwort aktualisieren, um dies zu reflektieren. - Ben Kelly
Es ist ein schwieriges Gleichgewicht zwischen Aufforderung bei Bedarf und Aufforderung zu viel. Derzeit ist Speicher Design rund um die Idee Websites können Speicher ohne eine Eingabeaufforderung verwenden, aber der Browser ist frei, um es unter Druck zu löschen. Wenn die Site dauerhaften Speicher benötigt, benötigen sie eine Eingabeaufforderung. Speicher-APIs sind in Iframes von Drittanbietern deaktiviert, wenn Cookies von Drittanbietern deaktiviert sind. In der Zukunft werden wir vielleicht den Ursprung auf der Grundlage der obersten Fensterherkunft (wie es Safari getan hat) "doppelklicken", was den Speicher weiter isolieren würde. In FF wird dies "first party isolation" genannt und kommt vom TOR-Projekt. - Ben Kelly
@Ben Kelly: Es deckt immer noch nicht den Anwendungsfall "erlauben jeder Website, alles zu speichern, um die Funktionalität zu erhalten, aber automatisch Speicher beim Browser Exit zu löschen" Richtig? Privates Browsen ist auch keine nette Lösung, da es überhaupt nichts speichert (vielleicht möchte ich immer noch meinen Browserverlauf oder Speicher für Sites speichern, denen ich wirklich vertraue.) Und nein, ich möchte nicht ständig zwischen normalem und privatem Browsen wechseln .) - manuel
Sie korrigieren "Löschen bei Beenden", die Cookie-Einstellung gilt nicht für Dinge wie IDB. Ich habe hier einen Fehler eingereicht bugzilla.mozilla.org/show_bug.cgi?id=1400678. Ich glaube, dass unsere allgemeinen Berechtigungen UX auch überarbeitet werden, aber ich bin nicht sicher, ob die Art von Speicherbeschränkungen, über die hier gesprochen wird, enthalten sind oder nicht. Ich habe dafür auch einen Fehler gemacht: bugzilla.mozilla.org/show_bug.cgi?id=1400679. Wir arbeiten daran, diese Funktionen zu verbessern, aber es ist ein inkrementeller Prozess. Entschuldigung für die Probleme. - Ben Kelly


Bearbeiten: Bitte lesen Sie den Kommentar von Ben Kelly, bevor Sie sich mit irgendwelchen Dateien in Ihrem Profil anlegen.


Da es in Firefox keine Lösung gibt, kann man leicht eine temporäre Lösung außerhalb von Firefox implementieren. IndexedDB-Dateien werden im Verzeichnis gespeichert <profile>/storage/default. Durch das Leeren dieses Ordners (z. B. durch ein geplantes Skript) können Sie die vollständige Kontrolle über Ihre Daten und deren Dauer wiederherstellen. Da jede Website in einem separaten Ordner gespeichert ist, können Sie sogar eine Whitelist / Blacklist oder grundsätzlich jede gewünschte Policy implementieren, vorausgesetzt, Sie haben etwas Programmiererfahrung.

Es ist keine nette Lösung und keine Entschuldigung für Firefox-Entwickler, weiterhin eine angemessene Lösung dafür zu verschieben. (Bugreports existieren seit Jahren!)

Beachten Sie, dass sich das Datenformat und der Speicherort im Laufe der Zeit ändern können. Zum Beispiel wurden in einer früheren Version alle IndexedDB-Daten in einer einzigen SQL-Datei gespeichert.


5
2017-09-17 12:32



Beachten Sie, dass dies Ihr Profil für bestimmte Websites beschädigen kann. Einige Status (wie Service-Mitarbeiter-Registrierungen) werden außerhalb dieses Verzeichnisses gespeichert. Websites können verwirrt werden, wenn der Speicher entfernt wird, aber die Service-Worker-Registrierung bleibt bestehen. Unsere neue "Site Data" Entfernung UX wird im November ausgeliefert und ist eine bessere Lösung. Oder führen Sie einfach im privaten Browsermodus aus, der den gesamten Speicher deaktiviert. - Ben Kelly
@BenKelly "... werden außerhalb dieses Verzeichnisses gespeichert."  Was bedeutet das? Gespeichert wo? Wie löschen wir diesen Teil auch? - John1024
Wir unterstützen keine willkürlichen Änderungen am Profilverzeichnis. Wenn Sie anfangen, Dinge manuell zu löschen, dann seien Sie nicht überrascht, wenn Ihr Profil beschädigt wird und Websites nicht korrekt funktionieren. Ich kann es wirklich nicht empfehlen. Einige der Probleme, die durch die ursprüngliche Frage aufgeworfen wurden, werden gerade so gelöst, wie wir sprechen. Auch privates Browsen, Container usw. wurden als unmittelbare Lösungen erwähnt. Bitte ändere dein Profil nicht von Hand. - Ben Kelly