Câu hỏi Làm cách nào để trang web này có thể xác định lại tôi ngay cả sau khi xóa tất cả lịch sử trình duyệt của tôi và sử dụng VPN?


Trang web dropmail.me có thể xác nhận lại thành công tôi (và cung cấp địa chỉ email tạm thời được sử dụng của tôi qua. "Khôi phục quyền truy cập") mặc dù thực hiện các thao tác sau:

  • Xóa tất cả lịch sử trình duyệt của tôi bao gồm bộ nhớ cache, cookie, cài đặt trang web, lịch sử tải xuống, lịch sử tìm kiếm, lịch sử trình duyệt và thông tin đăng nhập hoạt động. Về cơ bản tất cả mọi thứ có thể được xóa thông qua trình đơn Firefox. Tôi đang sử dụng Firefox 52 ESR.
  • Sử dụng một VPN (theo tuyên bố của họ là an toàn chống lại IPv6 và rò rỉ DNS) mà tôi đã không sử dụng khi tôi truy cập trang web này trước đây.
  • Sử dụng uBlock Origin và uMatrix

Thông tin thêm:

  • "Danh tính" của tôi phải bằng cách nào đó bị ràng buộc vào hồ sơ trình duyệt hiện tại của tôi. Khi tôi sử dụng một trình duyệt khác hoặc một hồ sơ trình duyệt mới, trang web không xác định lại tôi là cùng một người. Trên thực tế, nó là đủ để sử dụng addon Firefox Priv8 và tạo mới hộp cát được xác định là một người khác. Điều này có thể chỉ ra rằng có một số loại lưu trữ cho các trang web không thể truy cập hoặc bị xóa mặc dù Firefox. (Đó không phải là cookie Flash, trang web không sử dụng Flash!)
  • (Cập nhật) Các trình duyệt khác không bị ảnh hưởng. Microsoft Edge, sau khi xóa lịch sử trình duyệt, không cho phép nhận dạng lại. Đây là vấn đề chỉ dành cho Firefox!

Câu hỏi của tôi là:

  • Làm thế nào trên trái đất họ có thể tái xác định tôi? Vì động lực duy nhất để xác định lại tôi là cung cấp quyền truy cập vào các địa chỉ thư đã sử dụng trước đó, tôi không nghĩ họ sử dụng bất kỳ kỹ thuật "tối" nào như dấu vân tay, nhưng tất nhiên nó không thể loại trừ được.
  • Làm thế nào tôi có thể bảo vệ khỏi loại "siêu theo dõi" này được sử dụng bởi trang web này?

219
2017-09-16 15:33


gốc


Sử dụng chế độ ẩn danh khi bạn truy cập. Chrome và IE có nó, tôi chắc chắn Firefox cũng vậy. - Appleoddity
@Appleoddity: Có, chế độ ẩn danh giúp, nhưng theo như tôi hiểu điều này chỉ ngăn các trang web lưu trữ hoặc đọc lịch sử trình duyệt, v.v. Vì vậy, khi tôi xóa mọi thứ, điều này sẽ có tác dụng tương tự nhưng không. Có thể một lỗi trong Firefox? - manuel
Tôi mạnh mẽ nghi ngờ cái ác đó là evercookie - Prime
@ Trong khi đó, trong trường hợp này nó không phải. Manuel đúng: "Vì động lực duy nhất để xác định lại tôi là cung cấp quyền truy cập vào các địa chỉ email đã sử dụng trước đây, tôi không nghĩ rằng họ sử dụng bất kỳ kỹ thuật" tối "nào" và nhìn trộm trong mã bạn sẽ thấy chúng đơn giản sử dụng công nghệ web chuẩn. Firefox là để đổ lỗi ở đây, trong trường hợp cụ thể này. - Arjan
Ngay cả thanh toán bù trừ mọi điều vẫn không bảo vệ dấu vân tay - o11c


Các câu trả lời:


Trang web đang sử dụng IndexedDB, mà MDN viết:

IndexedDB là một cách để bạn lưu trữ dữ liệu liên tục bên trong trình duyệt của người dùng. Bởi vì nó cho phép bạn tạo các ứng dụng web với khả năng truy vấn phong phú bất kể tính khả dụng của mạng, các ứng dụng của bạn có thể hoạt động cả trực tuyến và ngoại tuyến.

Không xóa nó có vẻ giống như một lỗi trong Firefox thực sự, nhưng dường như các nhà phát triển cảm thấy khác. Giống như tháng 3 năm 2015, ai đó đã viết:

Nhưng ngay cả khi bạn xóa tất cả thông tin lịch sử của bạn, dữ liệu từ IndexedDB vẫn tồn tại.

Cách đúng để xóa dữ liệu này là bằng cách truy cập about:permissions địa chỉ, tìm tên miền và nhấn Forget About This Site nút.

Trong khi about:permissions không hoạt động trong Firefox 55 của tôi, đi sâu vào Tools, Page Info, Permissions Tôi nhận được nút "Clear Storage":

Page Info dialog

Thậm chí tệ hơn, không phải màu xám "Sử dụng mặc định: Luôn hỏi" trong ảnh chụp màn hình ở trên, cũng như không bật "Cho bạn biết khi một trang web yêu cầu lưu trữ dữ liệu để sử dụng ngoại tuyến" trong cài đặt, Nâng cao, Mạng, có bất kỳ tác dụng nào để tránh lưu trữ:

Advanced settings

Dường như sau đây từ tháng 8 năm 2011 vẫn có thể áp dụng (trong đó "[chỉ]" được thêm bởi tôi):

Theo mặc định trong Firefox 4, một trang có thể sử dụng tới 50MB dung lượng lưu trữ IndexedDB. [Chỉ] Nếu nó cố gắng sử dụng hơn 50MB, Firefox sẽ yêu cầu người dùng cho phép [...]

Trong Firefox dành cho thiết bị di động (Google Android và Nokia Maemo), Firefox sẽ [chỉ] xin phép nếu một trang web cố gắng sử dụng hơn 5MB [...]

Để tắt hoàn toàn, hãy truy cập about:config và tắt dom.indexedDB.enabled. Tuy nhiên, hãy cẩn thận rằng điều đó có thể ảnh hưởng đến các plugin / add-on, điều này có vẻ là lý do tại sao một số muốn loại bỏ tùy chọn đó, ai đó đã ghi chú vào tháng 5 năm 2016:

Cho đến khi IndexedDB được xử lý theo cách tương tự như các cookie liên quan đến việc chấp nhận / xóa và hành vi của bên thứ ba, thì pref này sẽ tồn tại.

(Người ta có thể tìm thấy dom.storage.enabled thú vị quá ...)


251
2017-09-16 16:20



Thật. Wow. Đó là một vấn đề lớn. Tôi không có một lỗ hổng trong trình duyệt "bị ám ảnh bởi việc bảo vệ quyền riêng tư của bạn". - manuel
Vô hiệu hóa nó thậm chí phá vỡ các trang web được đề cập trước đây, và có lẽ các trang web khác quá. Hãy hy vọng Mozilla sẽ có một cái nhìn thứ hai về điều này. Một giải pháp có thể là xóa bộ nhớ này sau khi tôi đóng trình duyệt và chỉ trang web đã chọn mà tôi tin tưởng mới có thể lưu trữ vĩnh viễn. (đây là cách tôi xử lý cookie vào lúc này) - manuel
Xem thêm, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
Các phương tiện truyền thông Đức đề cập đến chủ đề này: heise.de/-3835084 - StanE
Nó luôn vô cùng ngu ngốc khi Mozilla xử lý IndexedDB khác với cookie. Nó vẫn blatantly một loại cookie. Giao thức là khác nhau, nhưng rõ ràng nếu tôi muốn chặn hoặc xóa tất cả cookie, tôi không quan tâm đến giao thức. Thật không may, thực hành của Mozilla luôn là "thêm các tính năng ngay bây giờ, sắp xếp các ý nghĩa về quyền riêng tư từ bây giờ, nếu có". @manuel Hãy thử lội qua: cấu hình một thời gian. Thực sự có rất nhiều thứ đáng sợ được tích hợp vào Firefox và được kích hoạt theo mặc định. Lập trường ủng hộ quyền riêng tư của Mozilla là tiếp thị thuần túy và không có gì khác. - Boann


Như đã lưu ý bởi Arjan thật không may là dễ dàng để lại dữ liệu trang web được cài đặt hiện tại. Điều này đang cải thiện phần nào với thiết kế lại UX ưu tiên trong FF57.

Ví dụ: trong "Bảo mật và quyền riêng tư" hiện có phần "Dữ liệu trang web":

Redesigned Privacy & Security menu in Firefox 57

Nhấp vào "cài đặt" dữ liệu trang web sẽ cho phép bạn xóa dữ liệu trang web cho một nguồn gốc cụ thể:

Settings - Site Data

Điều này sẽ xóa dữ liệu được lưu trữ trong IDB, Cache API, v.v. Nó cũng sẽ xóa cookie cho nguồn gốc:

Removing site data for a specific site

(Xin lỗi vì đã không đưa ra nhận xét này theo Câu trả lời của Arjan, nhưng tôi muốn bao gồm các ảnh chụp màn hình này.)

Disclaimer: Tôi là một nhân viên Mozilla


59
2017-09-17 03:36



Bất kỳ ý tưởng nào nếu bạn cũng đang lập kế hoạch thực sự nhắc người dùng cho phép lưu trữ dữ liệu để bắt đầu, ngay cả khi nó chỉ là một chút? (Tôi đã đọc ở đâu đó rằng đối với trang web của bên thứ ba, cài đặt "cho phép cookie của bên thứ ba" cũng áp dụng cho IndexedDB, nhưng tôi chưa thử nghiệm điều đó.) Cài đặt "Nội dung web ngoại tuyến và dữ liệu người dùng" khá lừa dối, Tôi cảm thấy, vì nó dường như không áp dụng cho IndexedDB. - Arjan
Nhận xét của tôi về "không phải là một nuke tất cả mọi thứ cho nguồn gốc này" bình luận đã sai. Nó cũng thực sự xóa cookie. Tôi sẽ cập nhật câu trả lời để phản ánh điều này. - Ben Kelly
Một sự cân bằng khó khăn giữa nhắc nhở khi thích hợp và thúc đẩy quá nhiều. Ngay bây giờ lưu trữ được thiết kế xung quanh các trang web ý tưởng có thể sử dụng lưu trữ mà không có một dấu nhắc, nhưng trình duyệt đó là miễn phí để xóa nó dưới áp lực. Nếu trang web muốn lưu trữ liên tục thì họ cần lời nhắc. API lưu trữ bị tắt trong iframe của bên thứ ba khi cookie của bên thứ ba bị tắt. Trong tương lai, chúng tôi có thể chuyển sang "khóa kép" nguồn gốc dựa trên nguồn gốc cửa sổ cấp cao nhất (như safari đã thực hiện) sẽ tiếp tục cô lập bộ nhớ. Trong FF, điều này được gọi là "cách ly bên thứ nhất" và xuất phát từ dự án TOR. - Ben Kelly
@ Kelly Kelly: Nó vẫn không bao gồm trường hợp sử dụng "cho phép mọi trang web lưu trữ mọi thứ để duy trì chức năng nhưng tự động xóa bộ nhớ khi thoát trình duyệt" Phải không? Duyệt web riêng tư không phải là giải pháp hay vì nó không giữ gì cả (có lẽ tôi vẫn muốn giữ lịch sử trình duyệt hoặc lưu trữ cho các trang web mà tôi thực sự tin tưởng. Không, tôi không muốn chuyển đổi giữa duyệt web bình thường và riêng tư mọi lúc .) - manuel
Bạn đã chính xác cài đặt cookie "xóa khi thoát" không áp dụng cho những thứ như IDB. Tôi đã gửi một lỗi ở đây bugzilla.mozilla.org/show_bug.cgi?id=1400678. Tôi tin rằng toàn bộ quyền của chúng tôi UX đang được làm lại là tốt, nhưng tôi không chắc chắn các loại hạn chế lưu trữ được nói đến ở đây được bao gồm hay không. Tôi đã gửi một lỗi cho điều đó là tốt: bugzilla.mozilla.org/show_bug.cgi?id=1400679. Chúng tôi đang làm việc để cải thiện các tính năng này, nhưng đó là một quá trình gia tăng. Xin lỗi vì sự cố. - Ben Kelly


Chỉnh sửa: Vui lòng đọc nhận xét của Ben Kelly trước khi gây rối với bất kỳ tệp nào trong tiểu sử của bạn.


Vì không có giải pháp bên trong Firefox, người ta có thể dễ dàng thực hiện sửa chữa tạm thời cho điều này bên ngoài Firefox. Các tệp IndexedDB được lưu trữ trong thư mục <profile>/storage/default. Bằng cách làm trống thư mục này (ví dụ: mặc dù tập lệnh được lập lịch), bạn có thể khôi phục toàn quyền kiểm soát dữ liệu của mình và dữ liệu vẫn tồn tại trong bao lâu. Vì mỗi trang web được lưu trữ trong một thư mục riêng biệt, bạn thậm chí có thể triển khai danh sách trắng / danh sách cấm hoặc về cơ bản mọi chính sách bạn muốn, do bạn có một số kinh nghiệm lập trình.

Nó không phải là một giải pháp tốt đẹp và không có lý do gì để các nhà phát triển Firefox tiếp tục trì hoãn một giải pháp thích hợp cho việc này. (Bugreports tồn tại trong nhiều năm nay!)

Và lưu ý rằng định dạng dữ liệu và vị trí có thể thay đổi theo thời gian. Ví dụ, trong một phiên bản trước, tất cả dữ liệu IndexedDB được lưu trữ trong một tệp SQL duy nhất.


5
2017-09-17 12:32



Lưu ý rằng điều này có thể làm hỏng hồ sơ của bạn cho các trang web nhất định. Một số trạng thái (như đăng ký nhân viên dịch vụ) được lưu trữ bên ngoài thư mục này. Trang web có thể bị nhầm lẫn nếu bộ nhớ bị xóa nhưng đăng ký nhân viên dịch vụ vẫn còn. Loại bỏ "Dữ liệu trang web" mới của chúng tôi UX được giao hàng vào tháng 11 và là giải pháp tốt hơn. Hoặc, chỉ cần chạy ở chế độ duyệt web riêng tư để tắt tất cả bộ nhớ. - Ben Kelly
@BenKelly "... được lưu trữ bên ngoài thư mục này."  Điều đó nghĩa là gì? Được lưu trữ ở đâu? Làm cách nào để xóa phần đó? - John1024
Chúng tôi không hỗ trợ các thay đổi tùy ý đối với thư mục hồ sơ. Nếu bạn bắt đầu xóa nội dung theo cách thủ công thì đừng ngạc nhiên nếu hồ sơ của bạn bị hỏng và các trang web không hoạt động chính xác. Tôi thực sự không khuyên bạn nên. Một số vấn đề được nêu lên bởi câu hỏi ban đầu ở đây đang được khắc phục khi chúng ta nói. Ngoài ra, duyệt web riêng tư, container, vv đã được đề cập như là giải pháp ngay lập tức. Vui lòng không sửa đổi hồ sơ của bạn. - Ben Kelly