222 votos

¿Cómo puede este sitio web hace me incluso después de borrar todo de mi navegador ' historia y el uso de una VPN?

El sitio web dropmail.me es capaz de reidentify mí (y a ofrecer mi último utilizado temp direcciones de correo a través de. "Restaurar el acceso") a pesar de hacer lo siguiente:

  • Eliminar todos mis navegadores de historia que incluye el caché, las cookies, la configuración del sitio web, historial de descargas, historial de búsqueda, historial del navegador y active los inicios de sesión. Básicamente todo lo que se puede eliminar a través del menú Firefox. Estoy usando Firefox 52 de la VSG.
  • El uso de una VPN (que de acuerdo a sus reclamos es seguro contra IPv6 DNS y fugas) que no he utilizado cuando he visitado previamente este sitio web.
  • El uso de uBlock Origen y uMatrix

Información adicional:

  • Mi "identidad" de alguna manera debe estar enlazado a mi actual perfil de explorador. Cuando yo uso un navegador diferente o un nuevo perfil de explorador, la página web no reidentify me como la misma persona. En realidad, es suficiente con usar el Firefox addon Priv8 y crear un nuevo sandbox para ser identificado como una persona diferente. Esto podría indicar que existe algún tipo de almacenamiento para sitios web que no se puede acceder o eliminados a pesar de Firefox. (No Flash cookies, el sitio web no utiliza Flash!)
  • (Actualización) Otros navegadores no son afectados. Microsoft Borde, después de borrar el historial del navegador, no permite reidentification. Esta es una de Firefox solo problema!

Mis preguntas son:

  • Cómo en la tierra son capaces de reidentify mí? Ya que su única motivación para reidentify me es ofrecer el acceso a la utilizada anteriormente direcciones de correo, yo no creo que el uso de cualquier "oscuro" de técnicas como la toma de huellas dactilares, pero, por supuesto, no puede ser descartada.
  • ¿Cómo puedo proteger de este tipo de "super-tracking" utilizadas por este sitio web?

253voto

Lie Ryan Puntos 15629

El sitio web está utilizando IndexedDB, para que MDN escribe:

IndexedDB es una manera para que usted persistentemente almacenar datos en el navegador del usuario. Dado que permite crear aplicaciones web con ricos capacidad de consulta, independientemente de la disponibilidad de la red, sus aplicaciones pueden trabajar tanto online como offline.

No borrar suena como un error en Firefox, de hecho, pero al parecer los desarrolladores opinan lo contrario. Como en Marzo de 2015, https://leonardcamacho.me/how-tot-delete-data-from-indexeddb-on-firefox/ escribió:

Pero incluso cuando se elimina toda tu información de la historia de los datos de IndexedDB persisten.

La manera correcta de eliminar este tipo de datos es ir a about:permissions dirección, buscar el dominio y pulsar el Forget About This Site botón.

Mientras about:permissions no funciona en mi Firefox 55, ir a Herramientas, Información de la Página, los Permisos me sale el botón "Clear Storage":

Page Info dialog

Peor aún, ni el gris "Usar Predeterminado: Preguntar Siempre" en la anterior captura de pantalla, ni la habilitación de "Dicen que cuando un sitio web pide para almacenar datos para su uso sin conexión" en la configuración Avanzada, la Red tiene ningún efecto para evitar el almacenamiento de:

Advanced settings

Parece que el siguiente de agosto de 2011 , todavía puede solicitar (donde "[sólo]" es agregada por mí):

Por defecto en Firefox 4, un sitio puede utilizar hasta 50MB de IndexedDB de almacenamiento. [Solo], Si intenta utilizar más de 50MB, Firefox va a pedir permiso al usuario [...]

En Firefox para dispositivos móviles (Google Android y Nokia Maemo), Firefox [sólo] pedir permiso si un sitio web intenta usar más de 5MB [...]

Para deshabilitar por completo, ir a about:config y desactivar dom.indexedDB.enabled. Sin embargo, ten en cuenta que podría afectar plugins/complementos así, que parece ser por eso que algunos quieren quitar esa opción, para que alguien señaló en Mayo de 2016:

Hasta IndexedDB es manejado de la misma manera como las cookies con respecto a la aceptación/compensación de terceros y de comportamiento, este pref debe de existir.

(Uno puede encontrar dom.storage.enabled interesante también...)

58voto

Ben Kelly Puntos 639

Como se señaló por Arjan es, desafortunadamente, de fácil dejar el sitio de datos instalada en la actualidad. Esto está mejorando un poco con la preferencia UX rediseño en FF57.

Por ejemplo, debajo de "Privacidad y Seguridad" que ahora hay un "Sitio" Datos de la sección:

Redesigned Privacy & Security menu in Firefox 57

Hacer clic en el sitio de datos "configuración" le permitirá eliminar el sitio de datos de un origen específico:

Settings - Site Data

Esto eliminará los datos almacenados en el BID, la API de Caché, etc. También se eliminarán las cookies de origen:

Removing site data for a specific site

(Lo siento por no hacer de esto un comentario bajo la Arjan's respuesta, pero yo quería incluir estas capturas de pantalla.)

Descargo de responsabilidad: yo soy un empleado de Mozilla

5voto

manuel Puntos 1

Edit: por Favor leer el comentario de Ben Kelly antes de meterse con cualquiera de los archivos en su perfil.


Puesto que no hay solución dentro de Firefox, uno puede implementar fácilmente una solución temporal para que esta fuera una de Firefox. IndexedDB archivos se almacenan en el directorio <profile>/storage/default. Por vaciar esta carpeta (por ejemplo, a pesar de que un script programado) puede recuperar el control total sobre sus datos y cuánto tiempo persiste. Ya que cada sitio web se almacena en una carpeta separada, incluso se podría implementar una lista blanca/lista negra o básicamente cualquier política que desee, dado que tienen algo de experiencia en programación.

No es una buena solución y no es excusa para desarrolladores de Firefox para posponer una solución adecuada para esto. (Bugreports existen desde hace años!)

Y ser conscientes de que el formato de los datos y la ubicación puede cambiar con el tiempo. Por ejemplo, en una versión anterior, todos los IndexedDB los datos se almacenan en un único archivo SQL.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: