題 即使刪除了我所有瀏覽器的歷史記錄並使用VPN,該網站如何重新識別我?


網站 dropmail.me 能夠成功地重新識別我(並提供我最後使用過的臨時郵件地址。“恢復訪問權限”),儘管做了以下事情:

  • 刪除我的所有瀏覽器歷史記錄,包括緩存,Cookie,網站設置,下載歷史記錄,搜索歷史記錄,瀏覽器歷史記錄和活動登錄。基本上可以通過Firefox菜單刪除所有內容。我正在使用Firefox 52 ESR。
  • 使用VPN(根據他們的說法可以安全地防止IPv6和DNS洩漏),我以前訪問過這個網站時沒有使用過。
  • 使用uBlock Origin和uMatrix

附加信息:

  • 我的“身份”必須以某種方式綁定到我當前的瀏覽器配置文件。當我使用其他瀏覽器或新的瀏覽器配置文件時,該網站不會將我重新標識為同一個人。實際上,使用Firefox插件就足夠了 Priv8 並創造一個新的 砂箱 被認定為不同的人。這可能表明存在某種無法通過Firefox訪問或刪除的網站存儲。 (這不是Flash cookies,網站不使用Flash!)
  • (更新)其他瀏覽器不受影響。刪除瀏覽器歷史記錄後,Microsoft Edge不允許重新標識。這是一個僅限Firefox的問題!

我的問題是:

  • 他們怎麼能夠重新識別我?由於他們重新識別我的唯一動機是提供對以前使用的郵件地址的訪問權限,我不認為他們使用任何“黑暗”技術,如指紋識別,但當然不能排除它。
  • 如何保護本網站使用的這種“超級跟踪”?

220
2017-09-16 15:33


起源


訪問時使用隱身模式。 Chrome和IE都有它,我相信Firefox也是如此。 - Appleoddity
@Appleoddity:是的,隱身模式有幫助,但據我所知,這只是阻止網站存儲或閱讀瀏覽器歷史記錄等。所以當我刪除所有內容時,這應該具有相同的效果,但事實並非如此。可能是Firefox中的一個錯誤? - manuel
我強烈懷疑那是邪惡 evercookie - Prime
@Prime,在這種情況下它不是。曼努埃爾是對的: “由於他們重新識別我的唯一動機是提供對以前使用的郵件地址的訪問權限,我認為他們不會使用任何”黑暗“技術” 在代碼中偷看你會看到他們只是使用標準的網絡技術。在這種特殊情況下,Firefox應該歸咎於此。 - Arjan
甚至清理 一切 仍然不會保護 指紋 - o11c


答案:


該網站正在使用IndexedDB MDN寫道

IndexedDB是一種在用戶瀏覽器中持久存儲數據的方法。因為它允許您創建具有豐富查詢能力的Web應用程序,而不管網絡可用性如何,您的應用程序可以在線和離線工作。

不清除它聽起來確實像Firefox中的一個錯誤,但顯然開發人員感覺不然。就像在2015年3月, 有人寫道

但即使您刪除了所有歷史信息,IndexedDB中的數據仍然存在。

刪除此數據的​​正確方法是轉到 about:permissions 地址,尋找域名並按下 Forget About This Site 按鈕。

about:permissions 在我的Firefox 55中不起作用,進入工具,頁面信息,權限我得到“清除存儲”按鈕:

Page Info dialog

更糟糕的是,沒有灰色的 “使用默認值:始終詢問” 在上面的屏幕截圖中,也沒有啟用 “當網站要求存儲數據以供離線使用時告訴您” 在設置,高級,網絡,有任何影響,以避免存儲:

Advanced settings

它似乎 以下是2011年8月 可能仍然適用(我添加“[only]”的地方):

默認情況下,在Firefox 4中,站點最多可以使用50MB的IndexedDB存儲。 [僅]如果它試圖使用超過50MB,Firefox將要求用戶許可[...]

在用於移動設備的Firefox(谷歌Android和諾基亞Maemo)中,如果網站試圖使用超過5MB的話,Firefox將[僅]請求許可[...]

要完全禁用它,請轉到 about:config 並禁用 dom.indexedDB.enabled。但是,要注意這可能會影響插件/加載項,這似乎是有些人想要刪除該選項的原因, 有人在2016年5月注意到

在關於接受/清除和第三方行為的方式處理IndexedDB與cookie相同的方式之前,該pref應該存在。

(有人可能會發現 dom.storage.enabled 有趣也...)


252
2017-09-16 16:20



確實。哇。這是一個大問題。我現在沒有在瀏覽器中出現這樣的漏洞 “痴迷於保護你的隱私”。 - manuel
禁用它甚至打破了之前提到的網站,也可能打破其他網站。讓我們希望Mozilla能再看一眼。一種解決方案可能是在關閉瀏覽器後刪除此存儲,並且只選擇我信任的可以擁有其永久存儲的站點。 (這是我目前處理cookie的方式) - manuel
也可以看看, bugzilla.mozilla.org/show_bug.cgi?id=1047098 - Bob
德國媒體提到這個話題: heise.de/-3835084 - StanE
Mozilla對IndexedDB的處理方式與Cookie不同,這一直是非常愚蠢的。它仍然是一種公然的餅乾。協議是不同的,但很明顯,如果我想阻止或刪除所有cookie,我不關心協議。不幸的是,Mozilla的做法總是“現在添加功能,從現在開始,如果有的話,解決隱私問題”。 @manuel嘗試瀏覽about:config一段時間。 Firefox中內置了許多可怕的東西並默認啟用。 Mozilla所謂的親隱私立場是純粹的營銷,僅此而已。 - Boann


正如Arjan所說 遺憾的是,目前很容易安裝網站數據。隨著FF57中的首選UX重新設計,這有所改善。

例如,在“隱私和安全”下,現在有一個“站點數據”部分:

Redesigned Privacy & Security menu in Firefox 57

單擊站點數據“設置”將允許您刪除特定來源的站點數據:

Settings - Site Data

這將刪除存儲在IDB,緩存API等中的數據。它還將刪除原始的cookie:

Removing site data for a specific site

(很抱歉沒有在下面發表評論 Arjan的回答,但我想要包含這些截圖。)

免責聲明:我是Mozilla員工


59
2017-09-17 03:36



如果您還計劃實際提示用戶允許存儲數據的開頭,即使它只是一個位,也不知道是什麼? (我在某處讀到,對於第三方網站,“允許第三方cookie”的設置也適用於IndexedDB,但我沒有測試過。)“離線Web內容和用戶數據”設置非常具有欺騙性,我覺得,因為它顯然不適用於IndexedDB。 - Arjan
我對其“不是為此起源的所有內容”評論的評論是錯誤的。它實際上也刪除了cookie。我會更新答案以反映這一點。 - Ben Kelly
它在適當的提示和提示太多之間難以平衡。現在存儲設計圍繞著想法網站可以使用存儲而無需提示,但瀏覽器可以在壓力下自由刪除它。如果站點需要持久存儲,那麼他們需要提示。禁用第三方cookie時,在第三方iframe中禁用存儲API。在未來,我們可能會根據頂級窗口原點(如safari所做的那樣)來“雙鍵控”原點,這將進一步隔離存儲。在FF中,這稱為“第一方隔離”,來自TOR項目。 - Ben Kelly
@Ben Kelly:它仍然沒有涵蓋用例“允許每個網站存儲所有內容以維護功能但在瀏覽器出口自動刪除存儲”對吧?私密瀏覽也不是一個很好的解決方案,因為它根本不保留任何東西(也許我仍然希望保留我真正信任的網站的瀏覽器歷史記錄或存儲空間。不,我不想一直在正常和私人瀏覽之間切換。) - manuel
你說錯了“退出時刪除”cookie設置不適用於像IDB這樣的東西。我在這裡提交了一個錯誤 bugzilla.mozilla.org/show_bug.cgi?id=1400678。我相信我們的整體權限UX也正在重新設計,但我不確定這裡討論的存儲限制類型是否包括在內。我也為此提交了一個錯誤: bugzilla.mozilla.org/show_bug.cgi?id=1400679。我們正在努力改進這些功能,但它是一個漸進的過程。對不起,對不起。 - Ben Kelly


編輯: 在弄亂你個人資料中的任何文件之前,請閱讀Ben Kelly的評論。


由於Firefox中沒有解決方案,因此可以輕鬆地在Firefox之外實現此臨時修復。 IndexedDB文件存儲在目錄中 <profile>/storage/default。通過清空此文件夾(例如,通過預定的腳本),您可以恢復對數據的完全控制以及持續多長時間。由於每個網站都存儲在一個單獨的文件夾中,因此您可以實現白名單/黑名單或基本上所有您需要的策略,因為您具有一些編程經驗。

這不是一個好的解決方案,也不是Firefox開發人員繼續為此推遲適當解決方案的藉口。 (Bugreports現在存在多年了!)

請注意,數據格式和位置可能會隨時間而變化。例如,在以前的版本中,所有IndexedDB數據都存儲在單個SQL文件中。


5
2017-09-17 12:32



請注意,這可能會損壞您的某些網站的個人資料。某些狀態(如服務工作者註冊)存儲在此目錄之外。如果存儲被刪除,站點可能會混淆,但服務工作者註冊仍然存在。我們新的“站點數據”刪除UX將於11月發布,是一個更好的解決方案。或者,只需在隱私瀏覽模式下運行即可禁用所有存儲空間。 - Ben Kelly
@BenKelly “...存儲在此目錄之外。”  那是什麼意思?存放在哪裡?我們如何刪除該部分? - John1024
我們不支持對配置文件目錄進行任意更改。如果您開始手動刪除內容,那麼如果您的配置文件損壞且網站無法正常工作,請不要感到驚訝。我真的不推薦它。在我們發言時,原始問題提出的一些問題正在修復。此外,私人瀏覽,容器等已被提及為直接解決方案。請不要手動修改您的個人資料。 - Ben Kelly