Wie kann diese Website mich erneut identifizieren, nachdem ich den gesamten Verlauf meines Browsers gelöscht und ein VPN verwendet habe?

30161
manuel

Die Website dropmail.me kann mich erfolgreich erneut identifizieren (und meine zuletzt verwendeten temporären E-Mail-Adressen über "Wiederherstellen des Zugriffs" anbieten), obwohl Folgendes ausgeführt wird:

  • Löschen Sie den gesamten Verlauf meines Browsers, einschließlich Cache, Cookies, Website-Einstellungen, Download-Verlauf, Suchverlauf, Browserverlauf und aktive Anmeldungen. Grundsätzlich alles, was über das Firefox-Menü gelöscht werden kann. Ich verwende Firefox 52 ESR.
  • Verwenden Sie ein VPN (das laut ihren Angaben gegen IPv6- und DNS-Leaking sicher ist), das ich bei meinem vorherigen Besuch dieser Website nicht verwendet habe.
  • Verwenden von uBlock Origin und uMatrix

Zusätzliche Information:

  • Meine "Identität" muss irgendwie an mein aktuelles Browser-Profil gebunden sein. Wenn ich einen anderen Browser oder ein neues Browserprofil verwende, identifiziert mich die Website nicht erneut als dieselbe Person. Eigentlich reicht es aus, das Firefox-Addon Priv8 zu verwenden und eine neue Sandbox zu erstellen, die als andere Person identifiziert werden kann. Dies kann darauf hinweisen, dass es eine Art Speicher für Websites gibt, auf die mit Firefox nicht zugegriffen werden kann. (Es sind keine Flash-Cookies, die Website verwendet Flash nicht!)
  • (Update) Andere Browser sind nicht betroffen. Microsoft Edge erlaubt nach dem Löschen des Browserverlaufs keine erneute Identifizierung. Dies ist ein Problem nur für Firefox!

Meine Fragen sind:

  • Wie um alles in der Welt können sie mich wieder identifizieren? Die einzige Motivation, mich wiederzuerkennen, ist der Zugang zu früher verwendeten E-Mail-Adressen. Ich glaube nicht, dass sie "dunkle" Techniken wie das Fingerprinting verwenden, aber natürlich kann dies nicht ausgeschlossen werden.
  • Wie kann ich mich vor dieser Art von "Super-Tracking" schützen, das von dieser Website verwendet wird?
220
Verwenden Sie den Inkognito-Modus während Ihres Besuchs. Chrome und IE haben es, ich bin mir sicher, dass Firefox dies auch tut. Appleoddity vor 6 Jahren 6
Melden Sie sich zu irgendeinem Zeitpunkt an? LPChip vor 6 Jahren 1
@Appleoddity: Ja, der Inkognito-Modus hilft, aber soweit ich das verstehe, hindern Webseiten das Speichern oder Lesen des Browserverlaufs usw. einfach. Wenn ich also alles lösche, sollte dies den gleichen Effekt haben, aber es hat nicht den gleichen Effekt. Vielleicht ein Fehler in Firefox? manuel vor 6 Jahren 5
@LPChip: Nein manuel vor 6 Jahren 1
Ich vermute stark das Übel, das [evercookie] ist (https://github.com/samyk/evercookie) Prime vor 6 Jahren 22
@Prime, in diesem Fall ist es nicht so. Manuel hat recht: _ "Da sie mich nur dazu motivieren, mich auf zuvor verwendete E-Mail-Adressen zu beziehen, denke ich nicht, dass sie" dunkle "Techniken verwenden _ und in den Code schauen, den Sie sehen, sie sind einfach unter Verwendung von Standard-Web-Technologie. In diesem speziellen Fall ist Firefox hier die Schuld. Arjan vor 6 Jahren 2
Mit permanenten [Cookies] (https://samy.pl/evercookie/)! Chloe vor 6 Jahren 0
Wenn Sie eine Nur-Whitelist-Cookie-Richtlinie verwenden (dh sie standardmäßig blockieren), können Websites keinen Indexedb verwenden, was auch eine solche Verfolgung verhindert the8472 vor 6 Jahren 1
Selbst das Löschen von * allem * ist immer noch nicht vor [Fingerprinting] geschützt (https://github.com/Valve/fingerprintjs2) o11c vor 6 Jahren 9
@ o11c Richtig, aber Sie können Fingerabdrücke nicht verwenden, um "neue" Benutzer eindeutig zu identifizieren, nur um wiederkehrende Benutzer neu zu identifizieren cat vor 6 Jahren 0
Selbst wenn Sie Ihren gesamten Browser neu installieren, können Sie anhand Ihrer installierten Schriftarten, Plugins und sogar Ihres angeschlossenen Monitors [https://panopticlick.eff.org/] immer noch identifizierbar sein! Es gibt wirklich sehr wenig, was Sie tun können, um diese Art von Profilierung zu vermeiden. KlaymenDK vor 6 Jahren 1
@cat: Wenn sie einen Fingerabdruck sehen, den sie vorher noch nicht gesehen haben, ist es wahrscheinlich ein neuer Fingerabdruck. btw https://amiunique.org ist eine der vielen Seiten, auf denen Sie herausfinden können, wie einzigartig Sie sind ... PlasmaHH vor 6 Jahren 1
Ich würde versuchen, Cookies zu löschen: Je nachdem, was Sie über die Unterstützung des Inkognito-Modus sagen, wäre dies der wahrscheinlichste Grund. Der Inkognito-Modus stoppt unter anderem das Fortbestehen von Cookies :) GMasucci vor 6 Jahren 0
@ GMasucci: Hast du auch die Frage gelesen und ist dir aufgefallen, dass es bereits eine akzeptierte Antwort gibt? manuel vor 6 Jahren 1

3 Antworten auf die Frage

252
Arjan

Die Website verwendet IndexedDB, für das MDN schreibt :

Mit IndexedDB können Sie Daten dauerhaft im Browser eines Benutzers speichern. Da Sie unabhängig von der Verfügbarkeit des Netzwerks Webanwendungen mit umfangreichen Abfragefunktionen erstellen können, können Ihre Anwendungen sowohl online als auch offline arbeiten.

Es klingt zwar nicht wie ein Fehler in Firefox, aber die Entwickler fühlen sich anscheinend anders. Wie im März 2015 schrieb jemand :

Aber auch wenn Sie alle Ihre Verlaufsdaten löschen, bleiben die Daten aus IndexedDB erhalten.

Der richtige Weg, um diese Daten zu löschen, ist, indem Sie zur about:permissionsAdresse gehen, nach der Domäne suchen und die Forget About This SiteSchaltfläche drücken.

Während about:permissionses in meinem Firefox 55 nicht funktioniert, gehe in Tools, Page Info, Permission, bekomme ich den Button "Clear Storage":

Page Info dialog

Schlimmer noch, weder das ausgegraute "Standard verwenden: Immer fragen" in der obigen Bildschirmaufnahme, noch das Aktivieren von "Informieren Sie, wenn eine Website Daten zur Offline-Verwendung speichert" in den Einstellungen "Erweitert", "Netzwerk", um die Speicherung zu vermeiden :

Advanced settings

Es scheint, dass das Folgende ab August 2011 noch gelten kann (wobei "[nur]" von mir hinzugefügt wird):

In Firefox 4 kann eine Site standardmäßig bis zu 50 MB IndexedDB-Speicher verwenden. [Nur] Wenn versucht wird, mehr als 50 MB zu verwenden, wird Firefox den Benutzer um Erlaubnis bitten. [...]

In Firefox für mobile Geräte (Google Android und Nokia Maemo) wird Firefox [nur] um Erlaubnis fragen, wenn eine Site versucht, mehr als 5 MB [...]

Um es vollständig zu deaktivieren, gehen Sie zu about:configund deaktivieren Sie es dom.indexedDB.enabled. Vorsicht jedoch, dass solche Plugins beeinflussen könnten / Add-ons auch, weshalb einige diese Option entfernen möchten zu sein scheint, für die jemand Mai 2016 festgestellt :

Bis IndexedDB in Bezug auf das Akzeptieren / Löschen und das Verhalten von Drittanbietern auf dieselbe Weise wie Cookies behandelt wird, sollte diese Voreinstellung vorhanden sein.

( dom.storage.enabledInteressant kann man auch finden ...)

Tatsächlich. Beeindruckend. Das ist eine große Sache. Ich habe jetzt nicht gesagt, dass es eine solche Lücke im Browser gibt, die [besessen ist vom Schutz Ihrer Privatsphäre "] (https://www.mozilla.org/en-US/firefox/features/private-browsing/). manuel vor 6 Jahren 153
@manuel, ich habe eine "about: config" -Einstellung und einige weitere Referenzen hinzugefügt. Nicht sehr befriedigend ... :-( Arjan vor 6 Jahren 2
... aber @manuel, das Deaktivieren von Plugins / Add-ons könnte dies beeinträchtigen. Ich gehe jetzt ;-) Arjan vor 6 Jahren 0
Bei Deaktivierung wird sogar die zuvor erwähnte Website und möglicherweise auch andere Websites unterbrochen. Hoffen wir, dass Mozilla einen zweiten Blick darauf werfen wird. Eine Lösung könnte darin bestehen, diesen Speicher zu löschen, nachdem ich meinen Browser geschlossen habe. Nur ausgewählte Sites, denen ich vertraue, können ihren permanenten Speicherplatz haben. (so verarbeite ich momentan Cookies) manuel vor 6 Jahren 23
Siehe auch https://bugzilla.mozilla.org/show_bug.cgi?id=1047098 Bob vor 6 Jahren 28
@manuel Ich frage mich, ob sie den gesamten Netscape Navigator-Code aus Firefox entfernt haben. trognanders vor 6 Jahren 2
Sie können die Offline-Speichernutzung mit "about: preferences # privacy" anzeigen, wenn "about: permissions" für Sie nicht funktioniert. unpythonic vor 6 Jahren 0
Die deutschen Medien erwähnen dieses Thema: https://heise.de/-3835084 StanE vor 6 Jahren 10
Es war immer zutiefst dumm, dass Mozilla IndexedDB anders als Cookies behandelt. Es ist immer noch eine Art Keks. Das Protokoll ist anders, aber wenn ich alle Cookies blockieren oder löschen möchte, kümmere ich mich nicht um das Protokoll. Unglücklicherweise besteht Mozilla darin, "jetzt Funktionen hinzuzufügen, die Auswirkungen auf den Datenschutz in einigen Jahren zu klären, wenn überhaupt". @manuel Wate einige Zeit durch etwa: config waten. In Firefox gibt es wirklich eine Menge gruseliges Zeug, das standardmäßig aktiviert ist. Mozillas angebliche Pro-Privacy-Haltung ist Marketing und nichts weiter. Boann vor 6 Jahren 27
@BaileyS wahrscheinlich. Deshalb verlor Netscape die (früheren) Browserkriege und musste komplett umbenennen und remarken. Es wurde gesagt, dass sie bei Null anfingen, obwohl es natürlich möglich sein könnte, dass sie einen Teil des Codes kopierten. Aber ich mache mir keine Sorgen, dass Firefox IndexedDB-Code von Navigator verwendet, da es zu dieser Zeit noch nicht existierte: D Luaan vor 6 Jahren 0
Dies ist eine Augenweide, aber könnten Sie die Antwort mit einem kurzen Kommentar dazu erweitern, wie andere Browser die `IndexedDB`-Privatsphäre verwenden? alexis vor 6 Jahren 0
@Arjan Gibt es eine Möglichkeit, den Schwellenwert von 50 MB für IndexedDB auf etwa 0 MB zu reduzieren? Auf diese Weise fragt Firefox immer nach der Erlaubnis, wenn eine Site die Daten speichern möchte. RogUE vor 6 Jahren 0
Der Mozilla-Fehlerbericht ist jetzt als behoben markiert und es hört sich an, als ob er die Einstellungen für "Daten löschen" tatsächlich aktualisiert hat, um die indizierte Datenbank beim Entfernen von Offline-Daten zu berücksichtigen. Nicht sicher, in welchem ​​Patch / Release es sein wird. Roddy of the Frozen Peas vor 6 Jahren 1
Die leonardcamacho.me-Verknüpfung ist unterbrochen. Archive.org hat eine fehlerhafte Kopie unter https://web.archive.org/web/20170919135015/https://leonardcamacho.me/how-tot-delete-data-from-indexeddb-on-firefox/ Max Barraclough vor 6 Jahren 1
@ RoddyoftheFrozenPeas Guter Ort. Von der Bugzilla-Seite: "Den 52.5.0esr-Build als verifiziert markieren." Max Barraclough vor 5 Jahren 0
59
Ben Kelly

Wie von Arjan angemerkt, ist es leider einfach, Standortdaten aktuell installiert zu lassen. Dies verbessert sich etwas mit der Präferenz der UX-Neugestaltung in FF57.

Zum Beispiel gibt es unter "Datenschutz und Sicherheit" jetzt einen Abschnitt "Site Data":

Überarbeitetes Menü "Datenschutz & Sicherheit" in Firefox 57

Wenn Sie auf "Site-Einstellungen" klicken, können Sie die Site-Daten für einen bestimmten Ursprung entfernen:

Einstellungen - Standortdaten

Dadurch werden in IDB, Cache-API usw. gespeicherte Daten entfernt. Außerdem werden Cookies für den Ursprung entfernt:

Removing site data for a specific site

(Es tut mir leid, dass ich unter Arjans Antwort keinen Kommentar abgegeben habe, aber ich wollte diese Screenshots einfügen.)

Haftungsausschluss: Ich bin ein Mitarbeiter von Mozilla

Gibt es eine Idee, ob Sie den Benutzer tatsächlich um Erlaubnis zum Speichern der Daten bitten möchten, auch wenn es nur ein einziges Bit ist? (Ich habe irgendwo gelesen, dass für Websites von Drittanbietern die Einstellung für "Cookies von Drittanbietern zulassen" auch für IndexedDB gilt, aber ich habe das nicht getestet.) Die Einstellung "Offline-Webinhalt und Benutzerdaten" ist ziemlich trügerisch. Ich fühle, wie es anscheinend nicht für IndexedDB gilt. Arjan vor 6 Jahren 4
Mein Kommentar über den Kommentar "Keine Nuke alles für diesen Ursprung" war falsch. Es löscht tatsächlich auch Cookies. Ich werde die Antwort aktualisieren, um dies zu reflektieren. Ben Kelly vor 6 Jahren 0
Es ist ein schwieriges Gleichgewicht zwischen Aufforderung, wenn es angebracht ist, und zu viel Aufforderung. Im Moment ist der Speicher auf die Idee ausgerichtet, dass Websites den Speicher ohne Aufforderung verwenden können, der Browser jedoch unter Druck frei löschen kann. Wenn die Site dauerhaften Speicherplatz benötigt, benötigen sie eine Aufforderung. Speicher-APIs sind in Drittanbieter-Iframes deaktiviert, wenn Drittanbieter-Cookies deaktiviert sind. In der Zukunft können wir den Ursprung auf der Basis des Fensterursprungs der obersten Ebene (wie bei Safari) doppelt "betätigen", wodurch der Speicher weiter isoliert wird. In FF wird dies als "First Party Isolation" bezeichnet und stammt aus dem TOR-Projekt. Ben Kelly vor 6 Jahren 8
Andere Lösungen, die Sie heute verwenden können: 1. Der private Browsing-Modus verhindert den gesamten Speicherplatz. 2. Container isolieren Speicher (https://blog.mozilla.org/firefox/introducing-firefox-multi-account-containers/). Beachten Sie jedoch, dass das Verhindern / Isolieren von Speichern nicht jeglichen Fingerabdruck verhindert. Ben Kelly vor 6 Jahren 0
@Ben Kelly: Der Anwendungsfall wird immer noch nicht behandelt. "Jede Website darf alle Inhalte speichern, um die Funktionalität zu erhalten, aber der Speicher wird beim Beenden des Browsers automatisch gelöscht." Das private Surfen ist auch keine gute Lösung, da es überhaupt nichts enthält (vielleicht möchte ich meinen Browserverlauf oder Speicherplatz auch für Websites behalten, denen ich wirklich vertraue.) Nein, ich möchte nicht ständig zwischen normalem und privatem Surfen wechseln .) manuel vor 6 Jahren 7
Die Einstellung "Löschen beim Beenden" ist korrekt. Sie gilt nicht für IDB. Ich habe hier einen Fehler eingereicht https://bugzilla.mozilla.org/show_bug.cgi?id=1400678. Ich glaube, unsere allgemeinen UX-Berechtigungen werden ebenfalls überarbeitet, aber ich bin nicht sicher, welche Art von Speicherbeschränkungen hier angesprochen werden oder nicht. Auch dafür habe ich einen Fehler eingereicht: https://bugzilla.mozilla.org/show_bug.cgi?id=1400679. Wir arbeiten an der Verbesserung dieser Funktionen, aber es ist ein inkrementeller Prozess. Sorry für die Probleme. Ben Kelly vor 6 Jahren 19
5
manuel

Bearbeiten: Bitte lesen Sie den Kommentar von Ben Kelly, bevor Sie Dateien in Ihrem Profil bearbeiten .

Da es keine Lösung in Firefox gibt, können Sie leicht eine temporäre Lösung für diese außerhalb von Firefox implementieren. Indizierte DB-Dateien werden im Verzeichnis gespeichert <profile>/storage/default. Durch Leeren dieses Ordners (z. B. durch ein geplantes Skript) können Sie die vollständige Kontrolle über Ihre Daten und deren Dauer wiederherstellen. Da jede Website in einem separaten Ordner gespeichert ist, können Sie sogar eine Whitelist / Blacklist oder grundsätzlich jede gewünschte Richtlinie implementieren, vorausgesetzt, Sie verfügen über einige Programmiererfahrung.

Es ist keine gute Lösung und keine Entschuldigung für die Entwickler von Firefox, um weiterhin eine geeignete Lösung zu verschieben. (Fehlerberichte existieren schon seit Jahren!)

Beachten Sie, dass sich das Datenformat und der Speicherort im Laufe der Zeit ändern können. In einer früheren Version wurden beispielsweise alle IndexedDB-Daten in einer einzigen SQL-Datei gespeichert.

Beachten Sie, dass dies Ihr Profil für bestimmte Websites beschädigen kann. Einige Zustände (wie z. B. Service Worker-Registrierungen) werden außerhalb dieses Verzeichnisses gespeichert. Sites können verwirrt werden, wenn der Speicher entfernt wird, die Registrierung des Service Worker bleibt jedoch erhalten. Unsere neue "Site Data" -Entfernung von UX wird im November ausgeliefert und ist eine bessere Lösung. Oder führen Sie einfach einen privaten Browsermodus aus, der den gesamten Speicher deaktiviert. Ben Kelly vor 6 Jahren 2
@BenKelly _ "... werden außerhalb dieses Verzeichnisses gespeichert." _ Was bedeutet das? Gespeichert wo? Wie löschen wir auch diesen Teil? John1024 vor 6 Jahren 1
Wir unterstützen keine willkürlichen Änderungen am Profilverzeichnis. Wenn Sie mit dem manuellen Löschen von Daten beginnen, wundern Sie sich nicht, wenn Ihr Profil beschädigt wird und die Websites nicht ordnungsgemäß funktionieren. Ich kann es wirklich nicht empfehlen. Einige der Probleme, die durch die ursprüngliche Frage aufgeworfen wurden, werden derzeit behoben. Auch private Browser, Container usw. wurden als unmittelbare Lösungen genannt. Bitte ändern Sie Ihr Profil nicht von Hand. Ben Kelly vor 6 Jahren 2

Verwandte Probleme