it-swarm.com.de

Wie kann mich diese Website identifizieren, auch wenn ich den gesamten Verlauf meines Browsers gelöscht und ein VPN verwendet habe?

Die Website dropmail.me kann mich erfolgreich erneut identifizieren (und meine zuletzt verwendeten temporären E-Mail-Adressen über "Zugriff wiederherstellen" anbieten), obwohl Folgendes ausgeführt wird:

  • Löschen Sie den gesamten Verlauf meines Browsers, einschließlich Cache, Cookies, Websiteeinstellungen, Downloadverlauf, Suchverlauf, Browserverlauf und aktiver Anmeldungen. Grundsätzlich alles, was über das Firefox-Menü gelöscht werden kann. Ich verwende Firefox 52 ESR.
  • Verwenden Sie ein VPN (das nach eigenen Angaben sicher gegen IPv6- und DNS-Lecks ist), das ich bei meinem vorherigen Besuch auf dieser Website nicht verwendet habe.
  • Verwenden von uBlock Origin und uMatrix

Zusätzliche Information:

  • Meine "Identität" muss irgendwie an mein aktuelles Browserprofil gebunden sein. Wenn ich einen anderen Browser oder ein neues Browserprofil verwende, identifiziert mich die Website nicht erneut als dieselbe Person. Eigentlich reicht es aus, das Firefox-Addon Priv8 zu verwenden und eine neue Sandbox zu erstellen, um als andere Person identifiziert zu werden. Dies könnte darauf hinweisen, dass es eine Art Speicher für Websites gibt, auf die über Firefox nicht zugegriffen oder gelöscht werden kann. (Es handelt sich nicht um Flash-Cookies, die Website verwendet kein Flash!)
  • (Update) Andere Browser sind nicht betroffen. Microsoft Edge lässt nach dem Löschen des Browserverlaufs keine erneute Identifizierung zu. Dies ist ein Firefox-Problem!

Meine Fragen sind:

  • Wie um alles in der Welt können sie mich wieder identifizieren? Da ihre einzige Motivation, mich erneut zu identifizieren, darin besteht, Zugang zu zuvor verwendeten E-Mail-Adressen zu bieten, denke ich, dass sie keine "dunklen" Techniken wie Fingerabdrücke verwenden, aber das kann natürlich nicht ausgeschlossen werden.
  • Wie kann ich mich vor dieser Art von "Super-Tracking" schützen, die von dieser Website verwendet wird?
220
manuel

Die Website verwendet IndexedDB, für die MDN schreibt :

Mit IndexedDB können Sie Daten dauerhaft im Browser eines Benutzers speichern. Da Sie damit Webanwendungen mit umfangreichen Abfragefunktionen unabhängig von der Netzwerkverfügbarkeit erstellen können, können Ihre Anwendungen sowohl online als auch offline ausgeführt werden.

Es klingt zwar nach einem Fehler in Firefox, aber anscheinend fühlen sich die Entwickler anders. Wie im März 2015 schrieb jemand :

Aber auch wenn Sie alle Ihre Verlaufsinformationen löschen, bleiben die Daten aus IndexedDB erhalten.

Der richtige Weg, diese Daten zu löschen, besteht darin, zur Adresse about:permissions zu gehen, nach der Domain zu suchen und auf die Schaltfläche Forget About This Site zu klicken.

Während about:permissions in meinem Firefox 55 unter Extras, Seiteninfo, Berechtigungen nicht funktioniert, erhalte ich die Schaltfläche "Speicher löschen":

 Page Info dialog

Schlimmer noch, weder das ausgegraute "Use Default: Always Ask" in der obigen Bildschirmaufnahme, noch das Aktivieren von "Sagen Sie, wenn eine Website zum Speichern von Daten für die Offline-Verwendung auffordert" in Einstellungen, Erweitert, Netzwerk, haben keine Auswirkung auf die Vermeidung der Speicherung:

 Advanced settings

Es scheint ab August 2011 gilt Folgendes noch zuzutreffen (wobei "[nur]" von mir hinzugefügt wird):

In Firefox 4 kann eine Site standardmäßig bis zu 50 MB indizierten Datenbankspeicher verwenden. [Nur] Wenn versucht wird, mehr als 50 MB zu verwenden, bittet Firefox den Benutzer um Erlaubnis [...]

In Firefox für mobile Geräte (Google Android und Nokia Maemo) fragt Firefox [nur] um Erlaubnis, wenn eine Site versucht, mehr als 5 MB zu verwenden [...]

Um es insgesamt zu deaktivieren, gehen Sie zu about:config und deaktivieren Sie dom.indexedDB.enabled. Beachten Sie jedoch, dass dies auch Plugins/Add-Ons betreffen könnte. Dies scheint der Grund zu sein, warum einige diese Option entfernen möchten, für die jemand im Mai 2016 notiert :

Solange IndexedDB in Bezug auf das Akzeptieren/Löschen und das Verhalten von Drittanbietern nicht wie Cookies behandelt wird, sollte diese Einstellung vorhanden sein.

(Man kann dom.storage.enabled auch interessant finden ...)

251
Arjan

Wie von Arjan bemerkt es ist leider einfach, die Site-Daten aktuell installiert zu lassen. Dies verbessert sich etwas mit der bevorzugten UX-Neugestaltung in FF57.

Beispielsweise gibt es unter "Datenschutz und Sicherheit" jetzt einen Abschnitt "Site-Daten":

 Redesigned Privacy & Security menu in Firefox 57

Durch Klicken auf die "Einstellungen" der Site-Daten können Sie Site-Daten für einen bestimmten Ursprung entfernen:

 Settings - Site Data

Dadurch werden in IDB, Cache API usw. gespeicherte Daten entfernt. Außerdem werden Cookies für Origin entfernt:

 Removing site data for a specific site

(Entschuldigen Sie, dass Sie unter Arjans Antwort keinen Kommentar dazu abgegeben haben, aber ich wollte diese Screenshots einbinden.)

Haftungsausschluss: Ich bin ein Mozilla-Mitarbeiter

59
Ben Kelly

Bearbeiten: Bitte lesen Sie den Kommentar von Ben Kelly, bevor Sie mit Dateien in Ihrem Profil herumspielen.


Da es in Firefox keine Lösung gibt, kann dies außerhalb von Firefox problemlos vorübergehend behoben werden. Indizierte DB-Dateien werden im Verzeichnis <profile>/storage/default gespeichert. Durch Leeren dieses Ordners (z. B. mithilfe eines geplanten Skripts) können Sie die vollständige Kontrolle über Ihre Daten und deren Dauer wiederherstellen. Da jede Website in einem separaten Ordner gespeichert ist, können Sie sogar eine Whitelist/Blacklist oder im Grunde jede gewünschte Richtlinie implementieren, vorausgesetzt, Sie verfügen über Programmiererfahrung.

Es ist keine gute Lösung und keine Entschuldigung für Firefox-Entwickler, weiterhin eine angemessene Lösung dafür aufzuschieben. (Bugreports gibt es schon seit Jahren!)

Beachten Sie auch, dass sich das Datenformat und der Speicherort im Laufe der Zeit ändern können. In einer früheren Version wurden beispielsweise alle IndexedDB-Daten in einer einzigen SQL-Datei gespeichert.

5
manuel