Wie kann diese Website mich auch nach dem Löschen des gesamten Browserverlaufs und der Verwendung eines VPN erneut identifizieren?

222

Die Website dropmail.me kann mich erneut identifizieren (und meine zuletzt verwendeten temporären E-Mail-Adressen über "Zugriff wiederherstellen" anbieten), obwohl Folgendes ausgeführt wird:

Löschen Sie den gesamten Verlauf meines Browsers, einschließlich Cache, Cookies, Website-Einstellungen, Download-Verlauf, Suchverlauf, Browserverlauf und aktiver Anmeldungen. Grundsätzlich alles, was über das Firefox-Menü gelöscht werden kann. Ich verwende Firefox 52 ESR.
Verwenden Sie ein VPN (das nach eigenen Angaben gegen IPv6- und DNS-Lecks geschützt ist), das ich nicht verwendet habe, als ich diese Website zuvor besucht habe.
Verwenden von uBlock Origin und uMatrix

Zusätzliche Information:

Meine "Identität" muss irgendwie an mein aktuelles Browserprofil gebunden sein. Wenn ich einen anderen Browser oder ein neues Browserprofil verwende, identifiziert mich die Website nicht erneut als dieselbe Person. Eigentlich reicht es aus, das Firefox-Addon Priv8 zu verwenden und eine neue Sandbox zu erstellen, um als andere Person identifiziert zu werden. Dies könnte darauf hinweisen, dass es eine Art Speicher für Websites gibt, auf die über Firefox nicht zugegriffen oder gelöscht werden kann. (Es handelt sich nicht um Flash-Cookies, die Website verwendet kein Flash!)
(Update) Andere Browser sind nicht betroffen. Microsoft Edge lässt nach dem Löschen des Browserverlaufs keine erneute Identifizierung zu. Dies ist ein Firefox-Problem!

Meine Fragen sind:

Wie um alles in der Welt können sie mich wieder identifizieren? Da ihre einzige Motivation, mich erneut zu identifizieren, darin besteht, Zugang zu zuvor verwendeten E-Mail-Adressen zu gewähren, denke ich, dass sie keine "dunklen" Techniken wie Fingerabdrücke verwenden, aber das kann natürlich nicht ausgeschlossen werden.
Wie kann ich mich vor dieser Art von "Super-Tracking" schützen, die von dieser Website verwendet wird?

— manuel
quelle

Verwenden Sie beim Besuch den Inkognito-Modus. Chrome und IE haben es, ich bin sicher, Firefox auch.

— Appleoddity

@Appleoddity: Ja, der Inkognito-Modus hilft, aber soweit ich weiß, verhindert dies nur, dass Websites den Browserverlauf usw. speichern oder lesen. Wenn ich also alles lösche, sollte dies den gleichen Effekt haben, aber nicht. Vielleicht ein Fehler in Firefox?

— Manuel

Ich vermute sehr, dass das Böse Evercookie ist

— Prime

@Prime, in diesem Fall ist es nicht. Manuel hat Recht: „Da ihre einzige Motivation ich erneut zur Identifizierung ist der Zugang zu bisher verwendeten Mail - Adressen anbieten zu können, ich glaube nicht , dass sie keine Verwendung‚dunkle‘Techniken“ und in dem Code einsehen Sie werden sehen , sie sind einfach - Standard Web-Technologie. Hier ist Firefox schuld, in diesem speziellen Fall.

— Arjan

Selbst

— wenn

Antworten:

253

Die Website verwendet IndexedDB, für die MDN schreibt :

Mit IndexedDB können Sie Daten dauerhaft im Browser eines Benutzers speichern. Da Sie damit Webanwendungen mit umfangreichen Abfragefunktionen unabhängig von der Netzwerkverfügbarkeit erstellen können, können Ihre Anwendungen sowohl online als auch offline ausgeführt werden.

Es klingt zwar nach einem Fehler in Firefox, aber anscheinend fühlen sich die Entwickler anders. Wie im März 2015 schrieb jemand :

Aber auch wenn Sie alle Ihre Verlaufsinformationen löschen, bleiben die Daten aus IndexedDB erhalten.

Der richtige Weg, um diese Daten zu löschen, besteht darin, zu gehen about:permissions, nach der Domain zu suchen und den Forget About This SiteKnopf zu drücken.

Während about:permissionses in meinem Firefox 55 nicht funktioniert, gehe ich zu Extras, Seiteninfo, Berechtigungen und erhalte die Schaltfläche "Speicher löschen":

Schlimmer noch, weder das ausgegraute Kontrollkästchen "Use Default: Always Ask" (Standard verwenden: Immer fragen) im obigen Screenshot noch das Kontrollkästchen "Tell you when a Website fragt, ob Daten zur Offline-Verwendung gespeichert werden sollen" in den Einstellungen "Advanced " (Erweitert) und "Network " (Netzwerk) haben Auswirkungen, um das Speichern zu vermeiden :

Es scheint, dass ab August 2011 noch Folgendes zutrifft (wobei "[nur]" von mir hinzugefügt wird):

In Firefox 4 kann eine Site standardmäßig bis zu 50 MB indizierten Datenbankspeicher verwenden. [Nur] Wenn versucht wird, mehr als 50 MB zu verwenden, bittet Firefox den Benutzer um Erlaubnis [...]

In Firefox für mobile Geräte (Google Android und Nokia Maemo) fragt Firefox [nur] um Erlaubnis, wenn eine Site versucht, mehr als 5 MB [...] zu verwenden.

Um es insgesamt zu deaktivieren, gehen Sie zu about:configund deaktivieren dom.indexedDB.enabled. Beachten Sie jedoch, dass dies auch Plugins / Add-Ons betreffen kann. Dies scheint der Grund zu sein, warum einige diese Option entfernen möchten, für die im Mai 2016 Folgendes vermerkt wurde :

Solange IndexedDB in Bezug auf das Akzeptieren / Löschen und das Verhalten von Drittanbietern nicht wie Cookies behandelt wird, sollte diese Einstellung vorhanden sein.

(Man kann auch dom.storage.enabledinteressant finden ...)

— Arjan
quelle

153

Tatsächlich. Beeindruckend. Das ist eine große Sache. Ich habe jetzt keine solche Lücke im Browser, die "besessen davon ist , Ihre Privatsphäre zu schützen" .

— Manuel

Das Deaktivieren bricht sogar die zuvor erwähnte Website und wahrscheinlich auch andere Websites. Hoffen wir, dass Mozilla sich das noch einmal ansieht. Eine Lösung könnte darin bestehen, diesen Speicher zu löschen, nachdem ich meinen Browser geschlossen habe und nur ausgewählte Websites, denen ich vertraue, dauerhaft gespeichert werden können. (so gehe ich momentan mit cookies um)

— manuel

Siehe auch bugzilla.mozilla.org/show_bug.cgi?id=1047098

— Bob,

Die deutschen Medien erwähnen dieses Thema: heise.de/-3835084

— StanE

Es war schon immer zutiefst dumm, dass Mozilla IndexedDB anders behandelt als Cookies. Es ist immer noch eine Art Keks. Das Protokoll ist unterschiedlich, aber wenn ich alle Cookies blockieren oder löschen möchte, interessiert mich das Protokoll nicht. Leider ist Mozillas Praxis immer "Funktionen jetzt hinzufügen, die Auswirkungen auf den Datenschutz in Jahren, wenn überhaupt, klären". @manuel Versuchen Sie, einige Zeit durch about: config zu waten. In Firefox sind wirklich viele gruselige Dinge eingebaut und standardmäßig aktiviert. Mozillas angebliche Haltung zum Schutz der Privatsphäre ist reines Marketing und nichts weiter.

— Boann

Wie von Arjan bemerkt, ist es leider einfach, die Site-Daten aktuell installiert zu lassen. Dies verbessert sich etwas mit dem bevorzugten UX-Redesign in FF57.

Beispielsweise gibt es unter "Datenschutz und Sicherheit" jetzt einen Abschnitt "Site-Daten":

Durch Klicken auf die "Einstellungen" der Site-Daten können Sie Site-Daten für einen bestimmten Ursprung entfernen:

Dadurch werden in IDB, Cache API usw. gespeicherte Daten entfernt. Außerdem werden Cookies für den Ursprung entfernt:

(Es tut mir leid , dass ich unter Arjans Antwort keinen Kommentar dazu abgegeben habe , aber ich wollte diese Screenshots einfügen.)

Haftungsausschluss: Ich bin ein Mozilla-Mitarbeiter

— Ben Kelly
quelle

Haben Sie eine Idee, ob Sie den Benutzer tatsächlich auffordern möchten, die Erlaubnis zum Speichern der Daten zu erteilen, selbst wenn es sich nur um ein einzelnes Bit handelt? (Ich habe irgendwo gelesen, dass für Websites von Drittanbietern die Einstellung "Cookies von Drittanbietern zulassen" auch für IndexedDB gilt, aber ich habe das nicht getestet.) Die Einstellung "Offline-Webinhalte und Benutzerdaten" täuscht. Ich fühle, wie es anscheinend nicht auf IndexedDB zutrifft.

— Arjan

Mein Kommentar zu seinem "nicht alles für diesen Ursprung" -Kommentar war falsch. Tatsächlich werden auch Cookies gelöscht. Ich werde die Antwort aktualisieren, um dies widerzuspiegeln.

— Ben Kelly

Es ist ein schwieriges Gleichgewicht zwischen Aufforderung bei Bedarf und zu viel Aufforderung. Momentan ist Speicher ein Design, das darauf abzielt, dass Websites den Speicher ohne Aufforderung verwenden können, der Browser ihn jedoch unter Druck löschen kann. Wenn die Site dauerhaften Speicherplatz benötigt, ist eine Eingabeaufforderung erforderlich. Speicher-APIs sind in iframes von Drittanbietern deaktiviert, wenn Cookies von Drittanbietern deaktiviert sind. In Zukunft könnten wir den Ursprung auf der Basis des Ursprungs des Fensters der obersten Ebene "doppelt tasten" (wie es Safari getan hat), wodurch der Speicher weiter isoliert würde. In FF wird dies als "First Party Isolation" bezeichnet und stammt aus dem TOR-Projekt.

— Ben Kelly

@Ben Kelly: Es wird immer noch nicht der Anwendungsfall "Jeder Website erlauben, alles zu speichern, um die Funktionalität aufrechtzuerhalten, aber den Speicher beim Beenden des Browsers automatisch zu löschen" behandelt. Richtig? Privates Surfen ist auch keine gute Lösung, da es überhaupt nichts enthält (vielleicht möchte ich immer noch meinen Browserverlauf oder Speicherplatz für Websites behalten, denen ich wirklich vertraue. Und nein, ich möchte nicht die ganze Zeit zwischen normalem und privatem Surfen wechseln .)

— Manuel

Die Cookie-Einstellung "Beim Beenden löschen" gilt nicht für Dinge wie IDB. Ich habe hier einen Fehler gemeldet . Bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Ich glaube, dass unsere allgemeinen Berechtigungen für UX ebenfalls überarbeitet werden, aber ich bin nicht sicher, ob die Art der Speicherbeschränkungen, über die hier gesprochen wird, enthalten ist oder nicht. Ich habe auch dafür einen Fehler gemeldet : bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Wir arbeiten daran, diese Funktionen zu verbessern, aber es ist ein inkrementeller Prozess. Entschuldigung für die Probleme.

— Ben Kelly

Bearbeiten: Bitte lesen Sie den Kommentar von Ben Kelly, bevor Sie Dateien in Ihrem Profil bearbeiten .

Da es in Firefox keine Lösung gibt, kann dies außerhalb von Firefox problemlos vorübergehend behoben werden. Indizierte DB-Dateien werden im Verzeichnis gespeichert <profile>/storage/default. Durch Leeren dieses Ordners (z. B. mithilfe eines geplanten Skripts) können Sie die vollständige Kontrolle über Ihre Daten und deren Dauer wiederherstellen. Da jede Website in einem separaten Ordner gespeichert ist, können Sie sogar eine Whitelist / Blacklist oder im Grunde jede gewünschte Richtlinie implementieren, vorausgesetzt, Sie verfügen über Programmiererfahrung.

Es ist keine gute Lösung und keine Entschuldigung für Firefox-Entwickler, eine angemessene Lösung dafür weiter aufzuschieben. (Bugreports gibt es schon seit Jahren!)

Beachten Sie außerdem, dass sich das Datenformat und der Speicherort im Laufe der Zeit ändern können. In einer früheren Version wurden beispielsweise alle IndexedDB-Daten in einer einzigen SQL-Datei gespeichert.

— manuel
quelle

Beachten Sie, dass dies Ihr Profil für bestimmte Websites beschädigen kann. Einige Zustände (z. B. Registrierungen von Servicemitarbeitern) werden außerhalb dieses Verzeichnisses gespeichert. Websites können verwirrt werden, wenn der Speicher entfernt wird, die Registrierung des Servicemitarbeiters bleibt jedoch erhalten. Unsere neue "Site Data" -Entfernungs-UX wird im November ausgeliefert und ist eine bessere Lösung. Oder führen Sie einfach den privaten Browsermodus aus, der den gesamten Speicher deaktiviert.

— Ben Kelly,

@BenKelly "... werden außerhalb dieses Verzeichnisses gespeichert." Was bedeutet das? Wo gespeichert? Wie löschen wir diesen Teil auch?

— John1024

Wir unterstützen keine willkürlichen Änderungen am Profilverzeichnis. Wenn Sie anfangen, Inhalte manuell zu löschen, wundern Sie sich nicht, wenn Ihr Profil beschädigt wird und Websites nicht richtig funktionieren. Ich kann es wirklich nicht empfehlen. Einige der von der ursprünglichen Frage aufgeworfenen Probleme werden gerade behoben. Auch privates Surfen, Container usw. wurden als Sofortlösungen erwähnt. Bitte ändern Sie Ihr Profil nicht per Hand.

— Ben Kelly