Làm thế nào trang web này có thể xác định lại tôi ngay cả sau khi xóa tất cả lịch sử trình duyệt của tôi và sử dụng VPN?


222

Trang web dropmail.me có thể xác định lại thành công tôi (và cung cấp địa chỉ thư tạm thời được sử dụng cuối cùng của tôi thông qua. "Khôi phục quyền truy cập") mặc dù thực hiện như sau:

  • Xóa tất cả lịch sử trình duyệt của tôi bao gồm bộ đệm, cookie, cài đặt trang web, lịch sử tải xuống, lịch sử tìm kiếm, lịch sử trình duyệt và thông tin đăng nhập hoạt động. Về cơ bản mọi thứ có thể bị xóa thông qua menu Firefox. Tôi đang sử dụng Firefox 52 ESR.
  • Sử dụng VPN (theo tuyên bố của họ là an toàn chống rò rỉ IPv6 và DNS) mà tôi chưa từng sử dụng khi tôi truy cập trang web này trước đây.
  • Sử dụng uBlock Origin và uMatrix

Thông tin thêm:

  • "Danh tính" của tôi bằng cách nào đó phải được ràng buộc với hồ sơ trình duyệt hiện tại của tôi. Khi tôi sử dụng một trình duyệt khác hoặc một hồ sơ trình duyệt mới, trang web sẽ không xác định lại tôi là cùng một người. Trên thực tế, việc sử dụng addon Firefox8 là đủ và tạo một hộp cát mới để được xác định là một người khác. Điều này có thể chỉ ra rằng có một số loại lưu trữ cho các trang web không thể truy cập hoặc xóa qua Firefox. (Không phải cookie Flash, trang web không sử dụng Flash!)
  • (Cập nhật) Các trình duyệt khác không bị ảnh hưởng. Microsoft Edge, sau khi xóa lịch sử trình duyệt, không cho phép xác định lại. Đây là vấn đề chỉ có trên Firefox!

Câu hỏi của tôi là:

  • Làm thế nào trên trái đất họ có thể xác định lại tôi? Vì động lực duy nhất của họ để xác định lại tôi là cung cấp quyền truy cập vào các địa chỉ thư đã sử dụng trước đó, tôi không nghĩ họ sử dụng bất kỳ kỹ thuật "đen tối" nào như lấy dấu vân tay, nhưng tất nhiên không thể loại trừ.
  • Làm cách nào tôi có thể bảo vệ khỏi loại "siêu theo dõi" này được sử dụng bởi trang web này?

6
Sử dụng chế độ ẩn danh khi bạn truy cập. Chrome và IE có nó, tôi chắc chắn Firefox cũng vậy.
Appleoddity

5
@Appleoddity: Có, chế độ ẩn danh giúp ích, nhưng theo tôi hiểu thì điều này chỉ ngăn các trang web lưu trữ hoặc đọc lịch sử trình duyệt, v.v. Vì vậy, khi tôi xóa mọi thứ, điều này sẽ có tác dụng tương tự nhưng không được. Có lẽ là một lỗi trong Firefox?
manuel

22
Tôi cực kỳ nghi ngờ cái ác đó là evercookie
Thủ tướng

2
@Prime, trong trường hợp này thì không. Manuel nói đúng: "Vì động lực duy nhất của họ để xác định lại tôi là cung cấp quyền truy cập vào các địa chỉ thư đã sử dụng trước đó, tôi không nghĩ rằng họ sử dụng bất kỳ kỹ thuật" tối "nào và nhìn trộm mã mà bạn sẽ thấy họ chỉ đơn giản là sử dụng tiêu chuẩn công nghệ web. Firefox là để đổ lỗi ở đây, trong trường hợp cụ thể này.
Arjan

9
Ngay cả khi xóa mọi thứ vẫn sẽ không bảo vệ chống lại dấu vân tay
o11c

Câu trả lời:


253

Trang web đang sử dụng IndexedDB, trong đó MDN viết :

IndexedDB là cách để bạn lưu trữ dữ liệu liên tục trong trình duyệt của người dùng. Vì nó cho phép bạn tạo các ứng dụng web với khả năng truy vấn phong phú bất kể tính khả dụng của mạng, ứng dụng của bạn có thể hoạt động cả trực tuyến và ngoại tuyến.

Không xóa nó có vẻ như là một lỗi trong Firefox, nhưng rõ ràng các nhà phát triển cảm thấy khác. Giống như vào tháng 3 năm 2015, ai đó đã viết :

Nhưng ngay cả khi bạn xóa tất cả thông tin lịch sử của mình, dữ liệu từ IndexedDB vẫn tồn tại.

Cách đúng để xóa dữ liệu này là bằng cách truy cập about:permissionsđịa chỉ, tìm tên miền và nhấn Forget About This Sitenút.

Mặc dù about:permissionskhông hoạt động trong Firefox 55 của tôi nhưng đi sâu vào Công cụ, Thông tin trang, Quyền tôi nhận được nút "Xóa bộ nhớ":

Hộp thoại thông tin trang

Thậm chí tệ hơn, cả "Sử dụng mặc định: Luôn luôn hỏi" trong phần chụp màn hình ở trên, cũng không bật "Cho bạn biết khi trang web yêu cầu lưu trữ dữ liệu để sử dụng ngoại tuyến" trong cài đặt, Nâng cao, Mạng, có bất kỳ tác dụng nào để tránh lưu trữ :

Cài đặt nâng cao

Có vẻ như sau đây từ tháng 8 năm 2011 vẫn có thể áp dụng (trong đó "[chỉ]" được thêm vào bởi tôi):

Theo mặc định trong Firefox 4, một trang web có thể sử dụng tới 50 MB dung lượng lưu trữ IndexedDB. [Chỉ] Nếu nó cố sử dụng hơn 50 MB, Firefox sẽ yêu cầu người dùng cho phép [...]

Trong Firefox cho thiết bị di động (Google Android và Nokia Maemo), Firefox sẽ [chỉ] xin phép nếu một trang web cố gắng sử dụng hơn 5MB [...]

Để vô hiệu hóa nó hoàn toàn, đi đến about:configvà vô hiệu hóa dom.indexedDB.enabled. Tuy nhiên, hãy cẩn thận vì điều đó cũng có thể ảnh hưởng đến các plugin / tiện ích bổ sung, đó dường như là lý do tại sao một số người muốn xóa tùy chọn đó, mà ai đó đã lưu ý vào tháng 5 năm 2016 :

Cho đến khi IndexedDB được xử lý theo cách tương tự như cookie đối với việc chấp nhận / xóa và hành vi của bên thứ ba, thì điều này sẽ tồn tại.

(Người ta cũng có thể thấy dom.storage.enabledthú vị ...)


153
Thật. Ồ Đó là một vấn đề lớn. Bây giờ tôi không có một lỗ hổng như vậy trong trình duyệt "bị ám ảnh bởi việc bảo vệ quyền riêng tư của bạn" .
manuel

23
Vô hiệu hóa nó thậm chí phá vỡ trang web được đề cập trước đó, và có lẽ các trang web khác cũng vậy. Hãy hy vọng Mozilla sẽ có cái nhìn thứ hai về điều này. Một giải pháp có thể là xóa bộ nhớ này sau khi tôi đóng trình duyệt và chỉ trang web được chọn mà tôi tin tưởng mới có thể có bộ nhớ vĩnh viễn. (đây là cách tôi xử lý cookie tại thời điểm này)
manuel


10
Các phương tiện truyền thông Đức đề cập đến chủ đề này: heise.de/-3835084
StanE

27
Thật ngu ngốc khi Mozilla đối xử với IndexedDB khác với cookie. Nó vẫn ngang nhiên là một loại bánh quy. Giao thức là khác nhau, nhưng rõ ràng nếu tôi muốn chặn hoặc xóa tất cả các cookie tôi không quan tâm đến giao thức. Thật không may, thực tiễn của Mozilla luôn là "thêm các tính năng ngay bây giờ, sắp xếp các hàm ý bảo mật trong nhiều năm kể từ bây giờ, nếu có bao giờ". @manuel Hãy thử lội qua về: cấu hình một thời gian. Thực sự có rất nhiều thứ đáng sợ được tích hợp trong Firefox và được bật theo mặc định. Lập trường bị cáo buộc ủng hộ quyền riêng tư của Mozilla là tiếp thị thuần túy, và không có gì hơn thế.
Boann

59

Theo ghi nhận của Arjan , thật không may là dễ dàng để cài đặt dữ liệu trang web hiện tại. Điều này được cải thiện phần nào với thiết kế lại UX ưu tiên trong FF57.

Ví dụ: trong "Quyền riêng tư và bảo mật" hiện có phần "Dữ liệu trang web":

Menu Quyền riêng tư & Bảo mật được thiết kế lại trong Firefox 57

Nhấp vào "cài đặt" dữ liệu trang web sẽ cho phép bạn xóa dữ liệu trang web cho một nguồn gốc cụ thể:

Cài đặt - Dữ liệu trang web

Điều này sẽ xóa dữ liệu được lưu trữ trong IDB, API Cache, v.v. Nó cũng sẽ xóa cookie cho nguồn gốc:

Xóa dữ liệu trang web cho một trang web cụ thể

(Xin lỗi vì đã không đưa ra nhận xét này dưới câu trả lời của Arjan , nhưng tôi muốn đưa vào những ảnh chụp màn hình này.)

Tuyên bố miễn trừ trách nhiệm: Tôi là nhân viên của Mozilla


4
Bất kỳ ý tưởng nào nếu bạn cũng dự định thực sự nhắc người dùng cho phép lưu trữ dữ liệu để bắt đầu, ngay cả khi đó chỉ là một bit? (Tôi đã đọc ở đâu đó rằng đối với các trang web của bên thứ ba, cài đặt "cho phép cookie của bên thứ ba" cũng áp dụng cho IndexedDB, nhưng tôi chưa kiểm tra điều đó.) Cài đặt "Nội dung web và dữ liệu người dùng ngoại tuyến" khá lừa dối, Tôi cảm thấy, vì dường như nó không áp dụng cho IndexedDB.
Arjan

Nhận xét của tôi về nhận xét "không phải là tất cả mọi thứ cho nguồn gốc này" là sai. Nó thực sự cũng xóa cookie. Tôi sẽ cập nhật câu trả lời để phản ánh điều này.
Ben Kelly

8
Đó là một sự cân bằng khó khăn giữa nhắc nhở khi thích hợp và nhắc nhở quá nhiều. Hiện tại lưu trữ được thiết kế xung quanh các trang web ý tưởng có thể sử dụng lưu trữ mà không cần nhắc nhở, nhưng trình duyệt có thể tự do xóa nó dưới áp lực. Nếu trang web muốn lưu trữ liên tục thì họ cần một lời nhắc. API lưu trữ bị vô hiệu hóa trong iframe của bên thứ 3 khi cookie của bên thứ 3 bị tắt. Trong tương lai, chúng tôi có thể chuyển sang "nhập hai lần" nguồn gốc dựa trên nguồn gốc cửa sổ cấp cao nhất (như safari đã thực hiện) để tiếp tục cách ly bộ nhớ. Trong FF, điều này được gọi là "cách ly bên thứ nhất" và xuất phát từ dự án TOR.
Ben Kelly

7
@Ben Kelly: Nó vẫn không bao gồm trường hợp sử dụng "cho phép mọi trang web lưu trữ mọi thứ để duy trì chức năng nhưng tự động xóa bộ nhớ khi thoát khỏi trình duyệt" Phải không? Duyệt web riêng tư cũng không phải là một giải pháp tốt vì nó không giữ được gì cả (có lẽ tôi vẫn muốn giữ lịch sử trình duyệt hoặc lưu trữ cho các trang web tôi thực sự tin tưởng. Và không, tôi không muốn chuyển đổi giữa duyệt web bình thường và riêng tư mọi lúc .)
manuel

19
Bạn đã chính xác cài đặt cookie "xóa khi thoát" không áp dụng cho những thứ như IDB. Tôi nộp một lỗi ở đây bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Tôi tin rằng các quyền tổng thể của chúng tôi UX cũng đang được làm lại, nhưng tôi không chắc loại hạn chế lưu trữ đang được nói đến ở đây có được bao gồm hay không. Tôi cũng đã gửi một lỗi cho điều đó: bugzilla.mozilla.org/show_orms.cgi?id=1400679 . Chúng tôi đang nỗ lực cải thiện các tính năng này, nhưng đó là một quá trình gia tăng. Xin lỗi cho các vấn đề.
Ben Kelly

5

Chỉnh sửa: Vui lòng đọc nhận xét của Ben Kelly trước khi gửi bất kỳ tệp nào trong hồ sơ của bạn.


Vì không có giải pháp nào trong Firefox, nên người ta có thể dễ dàng thực hiện sửa lỗi tạm thời cho vấn đề này bên ngoài Firefox. Các tệp IndexedDB được lưu trữ trong thư mục <profile>/storage/default. Bằng cách làm trống thư mục này (ví dụ: mặc dù tập lệnh được lên lịch), bạn có thể khôi phục toàn quyền kiểm soát dữ liệu của mình và thời gian tồn tại. Vì mỗi trang web được lưu trữ trong một thư mục riêng biệt, bạn thậm chí có thể triển khai danh sách trắng / danh sách đen hoặc về cơ bản mọi chính sách bạn muốn, do bạn có một số kinh nghiệm lập trình.

Đây không phải là một giải pháp tốt và không có lý do gì để các nhà phát triển Firefox tiếp tục hoãn một giải pháp thích hợp cho việc này. (Bugreports tồn tại nhiều năm nay!)

Và lưu ý rằng định dạng dữ liệu và vị trí có thể thay đổi theo thời gian. Ví dụ: trong phiên bản trước, tất cả dữ liệu IndexedDB được lưu trữ trong một tệp SQL.


2
Lưu ý rằng điều này có thể làm hỏng hồ sơ của bạn cho các trang web nhất định. Một số trạng thái (như đăng ký nhân viên dịch vụ) được lưu trữ bên ngoài thư mục này. Các trang web có thể bị lẫn lộn nếu lưu trữ bị xóa, nhưng đăng ký nhân viên dịch vụ vẫn còn. Loại bỏ "Dữ liệu trang web" mới của chúng tôi sẽ được giao vào tháng 11 và là một giải pháp tốt hơn. Hoặc, chỉ chạy trong chế độ duyệt web riêng tư sẽ vô hiệu hóa tất cả bộ nhớ.
Ben Kelly

1
@BenKelly "... được lưu trữ bên ngoài thư mục này." Điều đó nghĩa là gì? Lưu trữ ở đâu? Làm thế nào để chúng ta xóa phần đó quá?
John1024

2
Chúng tôi không hỗ trợ thay đổi tùy ý vào thư mục hồ sơ. Nếu bạn bắt đầu xóa nội dung thủ công thì đừng ngạc nhiên nếu hồ sơ của bạn bị hỏng và các trang web không hoạt động chính xác. Tôi thực sự không khuyên bạn nên nó. Một số vấn đề được nêu ra bởi câu hỏi ban đầu ở đây đang được khắc phục khi chúng ta nói. Ngoài ra, duyệt web riêng tư, container, vv đã được đề cập như là giải pháp ngay lập tức. Xin đừng tự tay sửa đổi hồ sơ của bạn.
Ben Kelly
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.