Bagaimana situs web ini mengidentifikasi saya bahkan setelah menghapus semua riwayat browser saya dan menggunakan VPN?

222

Situs web dropmail.me berhasil mengidentifikasi kembali saya (dan menawarkan alamat surat temporer saya yang terakhir via. "Restore akses") walaupun melakukan hal berikut:

  • Hapus semua riwayat browser saya yang termasuk cache, cookie, pengaturan situs web, riwayat unduhan, riwayat pencarian, riwayat browser dan login aktif. Pada dasarnya semua itu bisa dihapus melalui menu Firefox. Saya menggunakan Firefox 52 ESR.
  • Gunakan VPN (yang menurut klaim mereka aman terhadap kebocoran IPv6 dan DNS) yang belum saya gunakan ketika saya sebelumnya mengunjungi situs web ini.
  • Menggunakan uBlock Origin dan uMatrix

Informasi tambahan:

  • "Identitas" saya entah bagaimana harus terikat dengan profil browser saya saat ini. Ketika saya menggunakan browser yang berbeda atau profil browser baru, situs web tidak mengidentifikasi saya sebagai orang yang sama. Sebenarnya, cukup menggunakan addon Firefox Priv8 dan membuat kotak pasir baru untuk diidentifikasi sebagai orang yang berbeda. Ini mungkin menunjukkan bahwa ada beberapa jenis penyimpanan untuk situs web yang tidak dapat diakses atau dihapus melalui Firefox. (Ini bukan cookie Flash, situs web tidak menggunakan Flash!)
  • (Perbarui) Browser lain tidak terpengaruh. Microsoft Edge, setelah menghapus riwayat browser, tidak mengizinkan identifikasi ulang. Ini adalah masalah khusus Firefox!

Pertanyaan saya adalah:

  • Bagaimana mereka bisa mengidentifikasi saya? Karena satu-satunya motivasi mereka untuk mengidentifikasi kembali saya adalah untuk menawarkan akses ke alamat surat yang sebelumnya digunakan, saya tidak berpikir mereka menggunakan teknik "gelap" seperti sidik jari, tetapi tentu saja itu tidak dapat dikesampingkan.
  • Bagaimana saya bisa melindungi dari "pelacakan super" semacam ini yang digunakan oleh situs web ini?
manuel
sumber
6
Gunakan mode penyamaran saat Anda berkunjung. Chrome dan IE memilikinya, saya yakin Firefox juga.
Appleoddity
5
@ Appleoddity: Ya, mode penyamaran membantu, tetapi sejauh yang saya pahami ini hanya mencegah situs web menyimpan atau membaca riwayat peramban dll. Jadi ketika saya menghapus semuanya ini seharusnya memiliki efek yang sama tetapi tidak. Mungkin ada bug di Firefox?
manuel
22
Saya sangat curiga kejahatan yang evercookie
Perdana
2
@Rime, dalam hal ini bukan. Manuel benar: "Karena satu-satunya motivasi mereka untuk mengidentifikasi kembali saya adalah untuk menawarkan akses ke alamat surat yang sebelumnya digunakan, saya tidak berpikir mereka menggunakan teknik" gelap " dan mengintip dalam kode Anda akan melihat mereka hanya menggunakan standar teknologi web. Firefox yang harus disalahkan di sini, dalam kasus khusus ini.
Arjan
9
Bahkan membersihkan segala sesuatu yang masih tidak akan terlindungi dari sidik jari
o11c

Jawaban:

253

Situs web ini menggunakan IndexedDB, di mana MDN menulis :

IndexedDB adalah cara bagi Anda untuk terus menyimpan data di dalam browser pengguna. Karena memungkinkan Anda membuat aplikasi web dengan kemampuan kueri yang kaya terlepas dari ketersediaan jaringan, aplikasi Anda dapat berfungsi baik online maupun offline.

Tidak membersihkan itu terdengar seperti bug di Firefox memang, tetapi tampaknya para pengembang merasa sebaliknya. Seperti pada Maret 2015, seseorang menulis :

Tetapi bahkan ketika Anda menghapus semua informasi riwayat Anda, data dari IndexedDB tetap ada.

Cara yang tepat untuk menghapus data ini adalah dengan pergi ke about:permissionsalamat, mencari domain dan menekan Forget About This Sitetombol.

Meskipun about:permissionstidak berfungsi di Firefox 55 saya, masuk ke Alat, Info Halaman, Izin saya mendapatkan tombol "Hapus Penyimpanan":

Dialog Info Halaman

Lebih buruk lagi, baik greyed-out "Gunakan Default: Selalu Tanya" di tangkapan layar di atas, atau mengaktifkan "Memberitahu Anda ketika situs web meminta untuk menyimpan data untuk penggunaan offline" dalam pengaturan, Advanced, Network, memiliki efek untuk menghindari penyimpanan :

Pengaturan lanjutan

Tampaknya yang berikut dari Agustus 2011 masih berlaku (di mana "[hanya]" ditambahkan oleh saya):

Secara default di Firefox 4, sebuah situs dapat menggunakan 50 MB penyimpanan IndexedDB. [Hanya] Jika mencoba menggunakan lebih dari 50MB, Firefox akan meminta izin kepada pengguna [...]

Di Firefox untuk perangkat seluler (Google Android dan Nokia Maemo), Firefox akan [hanya] meminta izin jika situs mencoba menggunakan lebih dari 5MB [...]

Untuk menonaktifkannya sama sekali, buka about:configdan nonaktifkan dom.indexedDB.enabled. Namun, berhati-hatilah karena hal itu juga dapat memengaruhi plugin / add-on, yang tampaknya menjadi alasan mengapa beberapa orang ingin menghapus opsi itu, yang oleh seseorang dicatat pada Mei 2016 :

Sampai IndexedDB ditangani dengan cara yang sama seperti cookie sehubungan dengan menerima / kliring dan perilaku pihak ketiga, preferensi ini harus ada.

(Orang mungkin menemukan dom.storage.enabledmenarik juga ...)

Arjan
sumber
153
Memang. Wow. Itu masalah besar. Saya tidak sekarang ada celah seperti itu di browser yang "terobsesi dengan melindungi privasi Anda" .
manuel
23
Menonaktifkannya bahkan merusak situs web yang disebutkan sebelumnya, dan mungkin situs web lain juga. Mari kita berharap Mozilla akan melihat ini. Salah satu solusinya mungkin dengan menghapus penyimpanan ini setelah saya menutup browser saya dan hanya situs terpilih yang saya percaya dapat memiliki penyimpanan permanen mereka. (ini adalah cara saya menangani kue pada saat ini)
manuel
10
Media Jerman menyebutkan topik ini: heise.de/-3835084
StanE
27
Itu selalu sangat bodoh bahwa Mozilla memperlakukan IndexedDB berbeda dari cookie. Ini masih semacam kue. Protokolnya berbeda, tetapi jelas jika saya ingin memblokir atau menghapus semua cookie saya tidak peduli dengan protokol itu. Sayangnya, praktik Mozilla selalu "menambahkan fitur sekarang, memilah implikasi privasi bertahun-tahun dari sekarang, jika pernah". @manuel Cobalah mengarungi about: config suatu saat. Benar-benar ada banyak hal menakutkan yang tertanam dalam Firefox dan diaktifkan secara default. Sikap pro-privasi Mozilla adalah pemasaran murni, dan tidak lebih.
Boann
59

Seperti dicatat oleh Arjan , sayangnya, mudah untuk membiarkan situs-data terinstal saat ini. Ini agak membaik dengan preferensi mendesain ulang UX di FF57.

Misalnya, di bawah "Privasi dan Keamanan" sekarang ada bagian "Data Situs":

Menu Privasi & Keamanan yang didesain ulang di Firefox 57

Mengklik "pengaturan" data situs akan memungkinkan Anda untuk menghapus data situs untuk asal tertentu:

Pengaturan - Data Situs

Ini akan menghapus data yang disimpan di IDB, API Cache, dll. Ini juga akan menghapus cookie untuk sumber:

Menghapus data situs untuk situs tertentu

(Maaf karena tidak membuat komentar di bawah jawaban Arjan , tetapi saya ingin menyertakan tangkapan layar ini.)

Penafian: Saya seorang karyawan Mozilla

Ben Kelly
sumber
4
Adakah ide jika Anda juga berencana untuk benar-benar meminta pengguna untuk izin untuk menyimpan data untuk memulai, bahkan jika itu hanya satu bit? (Saya pernah membaca di suatu tempat bahwa untuk situs pihak ketiga pengaturan untuk "izinkan cookie pihak ketiga" juga berlaku untuk IndexedDB, tapi saya belum mengujinya.) Pengaturan "Konten Web Offline dan Data Pengguna" cukup menipu, Saya merasa, karena tampaknya tidak berlaku untuk IndexedDB.
Arjan
Komentar saya tentang komentar "not a nuke everything for this origin" salah. Itu benar-benar menghapus cookie juga. Saya akan memperbarui jawaban untuk mencerminkan ini.
Ben Kelly
8
Ini adalah keseimbangan yang sulit antara dorongan saat tepat dan terlalu banyak dorongan. Saat ini penyimpanan dirancang di sekitar situs ide yang dapat menggunakan penyimpanan tanpa prompt, tetapi peramban bebas menghapusnya di bawah tekanan. Jika situs menginginkan penyimpanan persisten maka mereka membutuhkan prompt. API penyimpanan dinonaktifkan di iframe pihak ketiga saat cookie pihak ketiga dinonaktifkan. Di masa depan kita dapat beralih ke "penguncian ganda" asal berdasarkan asal jendela tingkat atas (seperti yang dilakukan safari) yang selanjutnya akan mengisolasi penyimpanan. Dalam FF ini disebut "isolasi pihak pertama" dan berasal dari proyek TOR.
Ben Kelly
7
@ Ben Kelly: Ini masih belum mencakup kasus penggunaan "izinkan setiap situs web untuk menyimpan semuanya untuk mempertahankan fungsionalitas tetapi secara otomatis menghapus penyimpanan saat browser keluar" Benar? Penjelajahan pribadi juga bukan solusi yang bagus karena tidak membuat apa-apa (mungkin saya masih ingin menyimpan riwayat peramban atau penyimpanan untuk situs yang saya percayai. Dan tidak, saya tidak ingin berganti antara penjelajahan biasa dan pribadi sepanjang waktu .)
manuel
19
Anda benar pengaturan cookie "hapus saat keluar" tidak berlaku untuk hal-hal seperti IDB. Saya mengajukan bug di sini bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Saya percaya izin keseluruhan kami UX sedang dikerjakan ulang juga, tapi saya tidak yakin jenis pembatasan penyimpanan yang dibicarakan di sini termasuk atau tidak. Saya mengajukan bug untuk itu juga: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Kami sedang berupaya meningkatkan fitur-fitur ini, tetapi ini merupakan proses tambahan. Maaf atas masalahnya.
Ben Kelly
5

Sunting: Silakan baca komentar oleh Ben Kelly sebelum mengacaukan file apa pun di profil Anda.


Karena tidak ada solusi di dalam Firefox, orang dapat dengan mudah menerapkan perbaikan sementara untuk ini di luar Firefox. File indexedDB disimpan dalam direktori <profile>/storage/default. Dengan mengosongkan folder ini (misalnya melalui skrip terjadwal) Anda dapat memulihkan kontrol penuh atas data Anda dan berapa lama itu bertahan. Karena setiap situs web disimpan dalam folder terpisah, Anda bahkan dapat mengimplementasikan daftar putih / daftar hitam atau pada dasarnya setiap kebijakan yang Anda inginkan, mengingat Anda memiliki pengalaman pemrograman.

Ini bukan solusi yang bagus dan tidak ada alasan bagi pengembang Firefox untuk terus menunda solusi yang tepat untuk ini. (Laporan Bug ada selama bertahun-tahun sekarang!)

Dan ketahuilah bahwa format data dan lokasi mungkin berubah seiring waktu. Misalnya, dalam versi sebelumnya, semua data IndexedDB disimpan dalam satu file SQL.

manuel
sumber
2
Perhatikan bahwa ini dapat merusak profil Anda untuk situs tertentu. Beberapa negara (seperti pendaftaran pekerja layanan) disimpan di luar direktori ini. Situs dapat menjadi bingung jika penyimpanan dihapus, tetapi pendaftaran pekerja layanan tetap. Penghapusan "Data Situs" baru kami dikirimkan pada bulan november dan merupakan solusi yang lebih baik. Atau, jalankan saja dalam mode penelusuran pribadi yang menonaktifkan semua penyimpanan.
Ben Kelly
1
@BenKelly "... disimpan di luar direktori ini." Apa artinya? Disimpan dimana? Bagaimana cara kami menghapus bagian itu juga?
John1024
2
Kami tidak mendukung perubahan sewenang-wenang ke direktori profil. Jika Anda mulai menghapus hal-hal secara manual maka jangan kaget jika profil Anda menjadi rusak dan situs tidak berfungsi dengan benar. Saya benar-benar tidak merekomendasikannya. Beberapa masalah yang diangkat oleh pertanyaan asli di sini sedang diperbaiki saat kami berbicara. Juga, penjelajahan pribadi, wadah, dll telah disebutkan sebagai solusi langsung. Tolong jangan modifikasi tangan profil Anda.
Ben Kelly