¿Cómo puede este sitio web volver a identificarme incluso después de eliminar todo el historial de mi navegador y usar una VPN?

222

El sitio web dropmail.me puede reidentificarme con éxito (y ofrecer mis últimas direcciones de correo temporal utilizadas a través de "Restaurar acceso") a pesar de hacer lo siguiente:

Eliminar todo el historial de mi navegador que incluye caché, cookies, configuración del sitio web, historial de descargas, historial de búsqueda, historial del navegador e inicios de sesión activos. Básicamente todo lo que se puede eliminar a través del menú de Firefox. Estoy usando Firefox 52 ESR.
Use una VPN (que según sus afirmaciones es segura contra la fuga de IPv6 y DNS) que no he usado cuando visité este sitio web anteriormente.
Usando uBlock Origin y uMatrix

Información Adicional:

Mi "identidad" de alguna manera debe estar vinculada a mi perfil de navegador actual. Cuando uso un navegador diferente o un nuevo perfil de navegador, el sitio web no me reidentifica como la misma persona. En realidad, es suficiente usar el complemento de Firefox Priv8 y crear un nuevo entorno limitado para ser identificado como una persona diferente. Esto podría indicar que hay algún tipo de almacenamiento para sitios web a los que no se puede acceder o eliminar a través de Firefox. (¡No son cookies Flash, el sitio web no usa Flash!)
(Actualización) Otros navegadores no se ven afectados. Microsoft Edge, después de eliminar el historial del navegador, no permite la reidentificación. ¡Este es un problema exclusivo de Firefox!

Mis preguntas son:

¿Cómo diablos pueden reidentificarme? Dado que su única motivación para reidentificarme es ofrecer acceso a direcciones de correo utilizadas anteriormente, no creo que utilicen ninguna técnica "oscura" como las huellas digitales, pero por supuesto no se puede descartar.
¿Cómo puedo protegerme de este tipo de "super-seguimiento" utilizado por este sitio web?

— manuel
fuente

Use el modo de incógnito cuando visite. Chrome e IE lo tienen, estoy seguro de que Firefox también lo tiene.

— Appleoddity

@Appleoddity: Sí, el modo de incógnito ayuda, pero por lo que entiendo, esto solo impide que los sitios web almacenen o lean el historial del navegador, etc. Entonces, cuando elimino todo esto debería tener el mismo efecto, pero no lo hace. Tal vez un error en Firefox?

— manuel

Sospecho fuertemente el mal que es evercookie

— Prime

@Prime, en este mismo caso no lo es. Manuel tiene razón: "Dado que su única motivación para volver a identificarme es ofrecer acceso a las direcciones de correo utilizadas anteriormente, no creo que utilicen ninguna técnica" oscura " y al mirar el código, verán que simplemente están usando el estándar tecnología web Firefox tiene la culpa aquí, en este caso específico.

— Arjan

Incluso limpiar todo aún no protegerá contra las huellas dactilares

— o11c

Respuestas:

253

El sitio web está utilizando IndexedDB, para lo cual MDN escribe :

IndexedDB es una forma de almacenar datos de forma persistente dentro del navegador de un usuario. Debido a que le permite crear aplicaciones web con capacidades de consulta ricas independientemente de la disponibilidad de la red, sus aplicaciones pueden funcionar tanto en línea como fuera de línea.

No borrarlo parece un error en Firefox, pero aparentemente los desarrolladores piensan lo contrario. Como en marzo de 2015, alguien escribió :

Pero incluso cuando elimina toda la información de su historial, los datos de IndexedDB persisten.

La forma correcta de eliminar estos datos es ir a la about:permissionsdirección, buscar el dominio y presionar el Forget About This Sitebotón.

Si bien about:permissionsno funciona en mi Firefox 55, al ingresar a Herramientas, Información de la página, Permisos, aparece el botón "Borrar almacenamiento":

Peor aún, ni la opción "Usar predeterminado: Preguntar siempre" en gris en la captura de pantalla anterior, ni habilitar "Avisarle cuando un sitio web solicita almacenar datos para uso sin conexión" en la configuración, Avanzado, Red, tienen ningún efecto para evitar el almacenamiento :

Parece que lo siguiente de agosto de 2011 todavía puede aplicarse (donde agrego "[solo]"):

De manera predeterminada en Firefox 4, un sitio puede usar hasta 50 MB de almacenamiento IndexedDB. [Solo] Si intenta usar más de 50 MB, Firefox le pedirá permiso al usuario [...]

En Firefox para dispositivos móviles (Google Android y Nokia Maemo), Firefox [solo] solicitará permiso si un sitio intenta usar más de 5 MB [...]

Para deshabilitarlo por completo, vaya about:configy desactívelo dom.indexedDB.enabled. Sin embargo, tenga en cuenta que esto también podría afectar a los complementos / complementos, lo que parece ser la razón por la cual algunos quieren eliminar esa opción, por lo que alguien señaló en mayo de 2016 :

Hasta que IndexedDB se maneje de la misma manera que las cookies con respecto a la aceptación / eliminación y el comportamiento de terceros, esta preferencia debería existir.

(Uno puede encontrar dom.storage.enabledinteresante también ...)

— Arjan
fuente

153

En efecto. Guau. Eso es un gran problema. No sabía que ahora hay una laguna en el navegador que está "obsesionada con proteger su privacidad" .

— manuel

Deshabilitarlo incluso rompe el sitio web mencionado anteriormente, y probablemente también otros sitios web. Esperemos que Mozilla eche un segundo vistazo a esto. Una solución podría ser eliminar este almacenamiento después de cerrar mi navegador y solo el sitio seleccionado en el que confío puede tener su almacenamiento permanente. (esta es la forma en que manejo las cookies en este momento)

— manuel

Ver también bugzilla.mozilla.org/show_bug.cgi?id=1047098

— Bob

Los medios alemanes mencionan este tema: heise.de/-3835084

— StanE

Siempre ha sido profundamente estúpido que Mozilla trate a IndexedDB de manera diferente a las cookies. Todavía es descaradamente una especie de galleta. El protocolo es diferente, pero claramente si quiero bloquear o eliminar todas las cookies no me importa el protocolo. Desafortunadamente, la práctica de Mozilla siempre es "agregar funciones ahora, resolver las implicaciones de privacidad dentro de años, si es que alguna vez lo hacen". @manuel Intenta leer acerca de: config en algún momento. Realmente hay muchas cosas aterradoras integradas en Firefox y habilitadas por defecto. La supuesta postura pro-privacidad de Mozilla es pura comercialización, y nada más.

— Boann

Como señaló Arjan , desafortunadamente es fácil dejar los datos del sitio instalados actualmente. Esto está mejorando algo con el rediseño de UX de preferencia en FF57.

Por ejemplo, en "Privacidad y seguridad" ahora hay una sección de "Datos del sitio":

Al hacer clic en la "configuración" de los datos del sitio, podrá eliminar los datos del sitio para un origen específico:

Esto eliminará los datos almacenados en BID, API de caché, etc. También eliminará las cookies para el origen:

(Perdón por no hacer esto un comentario bajo la respuesta de Arjan , pero quería incluir estas capturas de pantalla).

Descargo de responsabilidad: soy un empleado de Mozilla

— Ben Kelly
fuente

¿Alguna idea si también planea solicitar al usuario permiso para almacenar los datos para empezar, incluso si es solo un bit? (Leí en alguna parte que para sitios de terceros, la configuración de "permitir cookies de terceros" también se aplica a IndexedDB, pero no lo he probado). La configuración de "Contenido web y datos de usuario sin conexión" es bastante engañosa, Lo siento, ya que aparentemente no se aplica a IndexedDB.

— Arjan

Mi comentario sobre su comentario "no es un arma nuclear para este origen" fue incorrecto. En realidad, también elimina las cookies. Actualizaré la respuesta para reflejar esto.

— Ben Kelly

Es un equilibrio difícil entre preguntar cuando es apropiado y pedir demasiado. En este momento, el almacenamiento está diseñado en torno a la idea de que los sitios pueden usar el almacenamiento sin un aviso, pero que el navegador puede eliminarlo bajo presión. Si el sitio quiere almacenamiento persistente, entonces necesitan un aviso. Las API de almacenamiento están deshabilitadas en iframes de terceros cuando las cookies de terceros están deshabilitadas. En el futuro, podemos pasar a "doble incrustación" del origen en función del origen de la ventana de nivel superior (como lo ha hecho el safari) que aislaría aún más el almacenamiento. En FF esto se llama "aislamiento de primera parte" y proviene del proyecto TOR.

— Ben Kelly

@Ben Kelly: Todavía no cubre el caso de uso "permite que cada sitio web almacene todo para mantener la funcionalidad, pero elimina automáticamente el almacenamiento al salir del navegador" ¿Verdad? La navegación privada tampoco es una buena solución, ya que no guarda nada en absoluto (tal vez todavía quiero mantener el historial o el almacenamiento de mi navegador para sitios en los que realmente confío. Y no, no quiero cambiar entre navegación normal y privada todo el tiempo .)

— manuel

Está correcto que la configuración de cookies "eliminar al salir" no se aplique a cosas como el BID. Presenté un error aquí bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Creo que nuestros permisos generales UX también se están modificando, pero no estoy seguro de si se incluyen o no las restricciones de almacenamiento que se mencionan aquí. También presenté un error para eso: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Estamos trabajando para mejorar estas características, pero es un proceso incremental. Perdón por los problemas.

— Ben Kelly

Editar: lea el comentario de Ben Kelly antes de meterse con cualquier archivo en su perfil.

Como no hay una solución dentro de Firefox, se puede implementar fácilmente una solución temporal para esto fuera de Firefox. Los archivos IndexedDB se almacenan en el directorio <profile>/storage/default. Al vaciar esta carpeta (por ejemplo, a través de un script programado) puede recuperar el control total sobre sus datos y cuánto tiempo persiste. Dado que cada sitio web se almacena en una carpeta separada, incluso podría implementar una lista blanca / negra o básicamente todas las políticas que desee, dado que tiene algo de experiencia en programación.

No es una buena solución y no hay excusa para que los desarrolladores de Firefox continúen posponiendo una solución adecuada para esto. (¡Los informes de errores existen desde hace años!)

Y tenga en cuenta que el formato y la ubicación de los datos pueden cambiar con el tiempo. Por ejemplo, en una versión anterior, todos los datos de IndexedDB se almacenaban en un solo archivo SQL.

— manuel
fuente

Tenga en cuenta que esto puede dañar su perfil para ciertos sitios. Algunos estados (como los registros de trabajadores de servicio) se almacenan fuera de este directorio. Los sitios pueden confundirse si se elimina el almacenamiento, pero el registro del trabajador de servicio permanece. Nuestro nuevo UX de eliminación de "Datos del sitio" se enviará en noviembre y es una mejor solución. O simplemente ejecute en modo de navegación privada que deshabilita todo el almacenamiento.

— Ben Kelly

@BenKelly "... se almacenan fuera de este directorio". Qué significa eso? Almacenado donde? ¿Cómo borramos esa parte también?

— John1024

No admitimos cambios arbitrarios en el directorio del perfil. Si comienza a eliminar cosas manualmente, no se sorprenda si su perfil se corrompe y los sitios no funcionan correctamente. Realmente no lo recomiendo. Algunas de las cuestiones planteadas por la pregunta original aquí se están solucionando mientras hablamos. Además, la navegación privada, los contenedores, etc. se han mencionado como soluciones inmediatas. No modifique a mano su perfil.

— Ben Kelly