Question Comment ce site Web peut-il me ré-identifier même après avoir supprimé tout l'historique de mon navigateur et utilisé un VPN?


Le site Web dropmail.me est capable de me ré-identifier correctement (et d'offrir mes dernières adresses de messagerie temporaire utilisées via. "Restaurer l'accès") malgré les actions suivantes:

  • Supprimez tout l'historique de mon navigateur, y compris le cache, les cookies, les paramètres du site Web, l'historique des téléchargements, l'historique des recherches, l'historique du navigateur et les connexions actives. Fondamentalement, tout ce qui peut être supprimé via le menu Firefox. J'utilise Firefox 52 ESR.
  • Utilisez un VPN (qui, selon leurs revendications, est protégé contre les fuites IPv6 et DNS) que je n'ai pas utilisé lors de mes précédentes visites sur ce site.
  • Utiliser uBlock Origin et uMatrix

Information additionnelle:

  • Mon "identité" doit en quelque sorte être liée à mon profil de navigateur actuel. Lorsque j'utilise un autre navigateur ou un nouveau profil de navigateur, le site ne me réidentifie pas comme étant la même personne. En fait, il suffit d'utiliser l'addon de Firefox Priv8 et créer un nouveau bac à sable être identifié comme une personne différente. Cela peut indiquer qu'il existe un certain type de stockage pour les sites Web auxquels Firefox ne peut pas accéder ou supprimer. (Ce ne sont pas des cookies Flash, le site n’utilise pas Flash!)
  • (Mise à jour) Les autres navigateurs ne sont pas affectés. Microsoft Edge, après avoir supprimé l'historique du navigateur, n'autorise pas la réidentification. Ceci est un problème de Firefox uniquement!

Mes questions sont:

  • Comment diable peuvent-ils me ré-identifier? Étant donné que leur seule motivation pour me ré-identifier est d’offrir un accès à des adresses de messagerie précédemment utilisées, je ne pense pas qu’elles utilisent des techniques «sombres» comme les empreintes digitales, mais bien sûr, elles ne peuvent pas être exclues.
  • Comment puis-je protéger ce type de "super-tracking" utilisé par ce site?

219
2017-09-16 15:33


origine


Utilisez le mode incognito lorsque vous visitez. Chrome et IE l'ont, je suis sûr que Firefox le fait aussi. - Appleoddity
@Appleoddity: Oui, le mode incognito est utile, mais pour autant que je sache, cela empêche simplement les sites Web de stocker ou de lire l'historique du navigateur, etc. Peut-être un bug dans Firefox? - manuel
Je soupçonne fortement le mal qui est evercookie - Prime
@Prime, dans ce cas précis, ce n’est pas le cas. Manuel a raison: "Étant donné que leur seule motivation pour me ré-identifier est d’offrir un accès à des adresses de messagerie précédemment utilisées, je ne pense pas qu’elles utilisent des techniques" sombres "" et en regardant dans le code, vous verrez qu'ils utilisent simplement la technologie Web standard. Firefox est à blâmer ici, dans ce cas précis. - Arjan
Même la compensation tout ne sera toujours pas protéger contre empreintes digitales - o11c


Réponses:


Le site utilise IndexedDB, pour lequel MDN écrit:

IndexedDB vous permet de stocker des données de manière persistante dans le navigateur d'un utilisateur. Comme il vous permet de créer des applications Web avec des capacités de requête enrichies quelle que soit la disponibilité du réseau, vos applications peuvent fonctionner à la fois en ligne et hors connexion.

Ne pas effacer cela ressemble à un bogue dans Firefox en effet, mais apparemment les développeurs pensent que non. Comme en mars 2015, quelqu'un a écrit:

Mais même lorsque vous supprimez toutes vos informations d'historique, les données d'IndexedDB persistent.

La bonne façon de supprimer ces données est en allant à about:permissions adresse, chercher le domaine et en appuyant sur la Forget About This Site bouton.

Tandis que about:permissions ne fonctionne pas dans mon Firefox 55, aller dans les outils, les informations de page, les autorisations, je reçois le bouton "Effacer le stockage":

Page Info dialog

Pire encore, ni le grisé "Utiliser par défaut: Toujours demander" dans la capture d'écran ci-dessus, ni activer "Vous indique quand un site Web demande de stocker des données pour une utilisation hors ligne" dans les paramètres, Avancé, Réseau, avoir un effet pour éviter le stockage:

Advanced settings

Il semble ce qui suit d'août 2011 peut toujours s'appliquer (où "[seulement]" est ajouté par moi):

Par défaut, dans Firefox 4, un site peut utiliser jusqu'à 50 Mo de stockage IndexedDB. [Seulement] S'il essaie d'utiliser plus de 50 Mo, Firefox demandera l'autorisation à l'utilisateur [...]

Dans Firefox pour les appareils mobiles (Google Android et Nokia Maemo), Firefox demandera [uniquement] une autorisation si un site tente d'utiliser plus de 5 Mo [...]

Pour le désactiver complètement, allez à about:config et désactiver dom.indexedDB.enabled. Cependant, méfiez-vous que cela pourrait aussi affecter les plug-ins / add-ons, ce qui semble être la raison pour laquelle certains veulent supprimer cette option, pour laquelle quelqu'un a noté en mai 2016:

Tant qu'IndexedDB n'est pas géré de la même manière que les cookies en ce qui concerne l'acceptation / la compensation et le comportement de tiers, cette préférence doit exister.

(On peut trouver dom.storage.enabled intéressant aussi ...)


251
2017-09-16 16:20



Effectivement. Sensationnel. C'est un gros problème. Je n'ai pas maintenant il y a une telle échappatoire dans le navigateur qui est "obsédé par la protection de votre vie privée". - manuel
La désactivation même casser le site Web mentionné précédemment, et probablement d'autres sites Web aussi. Espérons que Mozilla jettera un second regard là-dessus. Une solution pourrait être de supprimer ce stockage après la fermeture de mon navigateur et que seul le site sélectionné en laquelle je suis en confiance peut disposer de son stockage permanent. (c'est comme ça que je gère les cookies pour le moment) - manuel
Voir également, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
Les médias allemands mentionnent ce sujet: heise.de/-3835084 - StanE
Il a toujours été profondément stupide que Mozilla traite IndexedDB différemment des cookies. C'est toujours une sorte de cookie. Le protocole est différent, mais clairement si je veux bloquer ou supprimer tous les cookies, je ne me soucie pas du protocole. Malheureusement, la pratique de Mozilla est toujours "ajouter des fonctionnalités maintenant, régler les implications de la vie privée dans des années, si jamais". @manuel Essayez de parcourir: config un peu de temps. Il y a vraiment beaucoup de choses effrayantes intégrées à Firefox et activées par défaut. La prétendue position de Mozilla en matière de protection de la vie privée est purement marketing et rien de plus. - Boann


Comme noté par Arjan il est malheureusement facile de laisser les données du site installées actuellement. Cela s'améliore quelque peu avec la refonte de la préférence UX dans FF57.

Par exemple, sous "Confidentialité et sécurité", il y a maintenant une section "Données du site":

Redesigned Privacy & Security menu in Firefox 57

En cliquant sur les "paramètres" des données du site, vous pourrez supprimer les données de site pour une origine spécifique:

Settings - Site Data

Cela supprimera les données stockées dans IDB, API de cache, etc. Il supprimera également les cookies pour l'origine:

Removing site data for a specific site

(Désolé de ne pas en faire un commentaire sous La réponse d'Arjan, mais je voulais inclure ces captures d'écran.)

Disclaimer: Je suis un employé de Mozilla


59
2017-09-17 03:36



Une idée si vous prévoyez également de demander à l'utilisateur l'autorisation de stocker les données pour commencer, même s'il ne s'agit que d'un seul bit? (J'ai lu quelque part que pour les sites tiers, le paramètre "Autoriser les cookies tiers" s'applique également à IndexedDB, mais je ne l'ai pas testé.) Le paramètre "Contenu Web et données utilisateur hors ligne" est assez trompeur, Je pense que cela ne s'applique apparemment pas à IndexedDB. - Arjan
Mon commentaire à propos de son commentaire "pas tout à fait nucléaire pour cette origine" était faux. Il supprime également les cookies. Je mettrai à jour la réponse pour refléter cela. - Ben Kelly
C'est un équilibre difficile entre inciter quand c'est approprié et demander trop. À l'heure actuelle, le stockage est conçu autour de l'idée que les sites peuvent utiliser le stockage sans invite, mais que le navigateur est libre de le supprimer sous pression. Si le site souhaite un stockage persistant, il lui faut une invite. Les API de stockage sont désactivées dans les iframes tiers lorsque les cookies tiers sont désactivés. À l'avenir, nous pourrons passer à la double saisie de l'origine en fonction de l'origine de la fenêtre de niveau supérieur (comme l'a fait Safari), ce qui isolerait davantage le stockage. Dans FF, cela s'appelle "l'isolement de la première partie" et vient du projet TOR. - Ben Kelly
@Ben Kelly: Cela ne couvre toujours pas le cas d'utilisation "permettre à chaque site Web de tout stocker pour conserver la fonctionnalité, mais supprimer automatiquement le stockage à la sortie du navigateur" La navigation privée n’est pas non plus une solution intéressante car elle ne conserve rien du tout (peut-être que je veux toujours conserver l’historique de mon navigateur ou mon stockage pour les sites auxquels je fais confiance). Non, je ne veux pas basculer entre la navigation normale et privée .) - manuel
Vous corrigez le paramètre de cookies "supprimer à la sortie" ne s'applique pas à des choses comme IDB. J'ai classé un bug ici bugzilla.mozilla.org/show_bug.cgi?id=1400678. Je pense que nos autorisations générales UX sont également retravaillées, mais je ne suis pas sûr que le type de restrictions de stockage dont nous parlons ici soit inclus ou non. J'ai également déposé un bug pour cela: bugzilla.mozilla.org/show_bug.cgi?id=1400679. Nous travaillons à améliorer ces fonctionnalités, mais c'est un processus progressif. Désolé pour les problèmes. - Ben Kelly


Modifier: S'il vous plaît lire le commentaire de Ben Kelly avant de jouer avec des fichiers dans votre profil.


Comme il n'y a pas de solution dans Firefox, on peut facilement implémenter un correctif temporaire pour cela en dehors de Firefox. Les fichiers IndexedDB sont stockés dans le répertoire <profile>/storage/default. En vidant ce dossier (par exemple via un script programmé), vous pouvez reprendre le contrôle total de vos données et de leur durée. Étant donné que chaque site Web est stocké dans un dossier distinct, vous pouvez même implémenter une liste blanche / liste noire ou pratiquement chaque politique que vous souhaitez, étant donné que vous avez une certaine expérience de programmation.

Ce n'est pas une bonne solution et aucune excuse pour les développeurs de Firefox de continuer à reporter une solution appropriée pour cela. (Les rapports de bug existent depuis des années!)

Et sachez que le format et l'emplacement des données peuvent changer avec le temps. Par exemple, dans une version précédente, toutes les données IndexedDB étaient stockées dans un seul fichier SQL.


5
2017-09-17 12:32



Notez que cela peut corrompre votre profil pour certains sites. Certains états (comme les enregistrements de travailleur du service) sont stockés en dehors de ce répertoire. Les sites peuvent devenir confus si le stockage est supprimé, mais l'enregistrement de l'agent de service reste. Notre nouvelle suppression "Site Data" UX est disponible en novembre et constitue une meilleure solution. Ou exécutez simplement en mode de navigation privée, ce qui désactive tout le stockage. - Ben Kelly
@BenKelly "... sont stockés en dehors de ce répertoire."  Qu'est-ce que ça veut dire? Stocké où? Comment pouvons-nous supprimer cette partie aussi? - John1024
Nous ne prenons pas en charge les modifications arbitraires du répertoire de profil. Si vous commencez à supprimer manuellement des éléments, ne soyez pas surpris si votre profil est corrompu et que les sites ne fonctionnent pas correctement. Je ne le recommande vraiment pas. Certaines des questions soulevées par la question initiale sont en train d’être réglées en ce moment même. En outre, la navigation privée, les conteneurs, etc. ont été mentionnés comme solutions immédiates. Veuillez ne pas modifier votre profil à la main. - Ben Kelly