Comment ce site Web peut-il me réidentifier même après la suppression de tout l'historique de mon navigateur et l'utilisation d'un VPN?

222

Le site Web dropmail.me est capable de me réidentifier avec succès (et de proposer mes dernières adresses e-mail temporaires utilisées via. "Restaurer l'accès") en dépit de ce qui suit:

Supprimez tout l'historique de mes navigateurs, y compris le cache, les cookies, les paramètres de site Web, l'historique de téléchargement, l'historique de recherche, l'historique de navigateur et les connexions actives. Fondamentalement, tout ce qui peut être supprimé via le menu Firefox. J'utilise Firefox 52 ESR.
Utilisez un VPN (qui, selon leurs revendications, est sans danger contre les fuites IPv6 et DNS) que je n’ai pas utilisé lors de ma dernière visite sur ce site Web.
Utiliser uBlock Origin et uMatrix

Information additionnelle:

Mon "identité" doit en quelque sorte être liée à mon profil de navigateur actuel. Lorsque j'utilise un navigateur différent ou un nouveau profil de navigateur, le site Web ne me réidentifie pas comme étant la même personne. En fait, il suffit d’utiliser l’addon Firefox Priv8 et de créer un nouveau bac à sable pour pouvoir être identifié en tant que personne différente. Cela pourrait indiquer qu'il existe un type de stockage pour les sites Web qui ne peut pas être consulté ou supprimé via Firefox. (Ce ne sont pas des cookies Flash, le site Web n'utilise pas Flash!)
(Mise à jour) Les autres navigateurs ne sont pas affectés. Microsoft Edge, après avoir supprimé l'historique du navigateur, ne permet pas la réidentification. Ceci est un problème réservé à Firefox!

Mes questions sont:

Comment sont-ils capables de me réidentifier? Étant donné que leur seule motivation pour me réidentifier est d’offrir l’accès aux adresses e-mail précédemment utilisées, je ne pense pas qu’ils utilisent des techniques «sombres» telles que la prise d’empreintes digitales, mais bien sûr, cela ne peut pas être exclu.
Comment puis-je me protéger de ce type de "super suivi" utilisé par ce site?

— manuel
source

Utilisez le mode incognito lors de votre visite. Chrome et IE l'ont, je suis sûr que Firefox aussi.

— Appleoddity

@Appleoddity: Oui, le mode incognito aide, mais autant que je sache, cela empêche simplement les sites Web de stocker ou de lire l'historique du navigateur, etc. Ainsi, lorsque je supprime tout, le même effet devrait avoir le même effet, mais ce n'est pas le cas. Peut-être un bug dans Firefox?

— manuel

Je soupçonne fortement le mal qu'il est jamais

— Premier

@Prime, dans ce cas même ce n'est pas le cas. Manuel a raison: « Depuis leur seule motivation pour me réidentifier est d'offrir l' accès aux adresses de messagerie utilisés précédemment, je ne pense pas qu'ils utilisent des « » techniques » sombres et jeter un oeil dans le code vous verrez qu'ils utilisent simplement la norme technologie Web. Firefox est à blâmer ici, dans ce cas précis.

— Arjan

Même tout effacer ne protégera toujours pas contre les empreintes digitales

— o11c

Réponses:

253

Le site Web utilise IndexedDB, pour lequel MDN écrit :

IndexedDB est un moyen pour vous de stocker de manière persistante des données dans le navigateur d'un utilisateur. Comme il vous permet de créer des applications Web dotées de capacités de requête étendues, quelle que soit la disponibilité du réseau, vos applications peuvent fonctionner à la fois en ligne et hors ligne.

Ne pas effacer cela ressemble à un bogue dans Firefox, mais apparemment, les développeurs pensent le contraire. Comme en mars 2015, quelqu'un a écrit :

Mais même lorsque vous supprimez toutes vos informations d’historique, les données de IndexedDB persistent.

La bonne façon de supprimer ces données est d'aller à l' about:permissionsadresse, chercher le domaine et appuyer sur le Forget About This Sitebouton.

Alors about:permissionsque ne fonctionne pas dans mon Firefox 55, en allant dans Outils, Informations de page, Autorisations, je reçois le bouton "Effacer le stockage":

Pire encore, ni les options grisées "Utiliser par défaut: Toujours demander" dans la capture d'écran ci-dessus, ni l'activation de "Vous avertir lorsqu'un site Web vous demande de stocker des données pour une utilisation hors ligne" dans les paramètres, Avancé, Réseau, n'ont aucun effet permettant d'éviter le stockage. :

Il semble que ce qui suit à partir d'août 2011 peut toujours s'appliquer (où "[seulement]" est ajouté par moi):

Par défaut, dans Firefox 4, un site peut utiliser jusqu'à 50 Mo de stockage IndexedDB. [Seulement] S'il essaie d'utiliser plus de 50 Mo, Firefox demandera à l'utilisateur la permission [...]

Dans Firefox pour appareils mobiles (Google Android et Nokia Maemo), Firefox demandera [uniquement] l'autorisation si un site tente d'utiliser plus de 5 Mo [...]

Pour le désactiver complètement, allez à about:configet désactivez-le dom.indexedDB.enabled. Cependant, sachez que cela pourrait également affecter les plugins / add-ons, ce qui semble être la raison pour laquelle certains veulent supprimer cette option, pour laquelle quelqu'un a noté en mai 2016 :

Jusqu'à ce que IndexedDB soit traité de la même manière que les cookies en ce qui concerne l'acceptation / la compensation et le comportement de tiers, cette préférence doit exister.

(On peut trouver dom.storage.enabledintéressant aussi ...)

— Arjan
source

153

En effet. Sensationnel. C'est un gros problème. Je ne savais pas qu'il y avait une telle faille dans le navigateur qui est "obsédée par la protection de votre vie privée" .

— manuel le

Sa désactivation casse même le site Web mentionné précédemment et probablement aussi d'autres sites Web. Espérons que Mozilla examinera cela de nouveau. Une solution pourrait être de supprimer ce stockage après la fermeture de mon navigateur et de ne conserver que le site sélectionné sur lequel je peux compter. (c'est ainsi que je gère les cookies pour le moment)

— manuel

Voir aussi bugzilla.mozilla.org/show_bug.cgi?id=1047098

— Bob

Les médias allemands mentionnent ce sujet: heise.de/-3835084

— StanE

Il a toujours été profondément stupide que Mozilla traite IndexedDB différemment des cookies. C'est encore une sorte de cookie. Le protocole est différent, mais clairement si je veux bloquer ou supprimer tous les cookies, le protocole ne m'intéresse pas. Malheureusement, la pratique de Mozilla consiste toujours à "ajouter des fonctionnalités maintenant, régler les implications pour la confidentialité dans des années, voire jamais". @manuel Essayez de parcourir environ: config un peu de temps. Il y a vraiment beaucoup de choses effrayantes intégrées dans Firefox et activées par défaut. La prétendue position de Mozilla en faveur de la protection de la vie privée est du pur marketing, rien de plus.

— Boann

Comme l'a noté Arjan, il est malheureusement facile de laisser les données de site actuellement installées. Cela s'améliore quelque peu avec la refonte de la préférence UX dans FF57.

Par exemple, sous "Confidentialité et sécurité", il existe maintenant une section "Données du site":

En cliquant sur les "paramètres" des données du site, vous pourrez supprimer les données du site pour une origine spécifique:

Cela supprimera les données stockées dans IDB, l'API de cache, etc. Cela supprimera également les cookies pour l'origine:

(Désolé de ne pas en faire un commentaire dans la réponse d'Arjan , mais je voulais inclure ces captures d'écran.)

Disclaimer: Je suis un employé de Mozilla

— Ben Kelly
source

Avez-vous une idée si vous envisagez également de demander à l'utilisateur l'autorisation de stocker les données, même s'il ne s'agit que d'un bit? (J'ai lu quelque part que le paramètre "autoriser les cookies tiers" s'applique également à IndexedDB pour les sites tiers, mais je ne l'ai pas encore testé.) Le paramètre "Contenu Web et données utilisateur hors connexion" est assez trompeur, Je pense que cela ne s’applique apparemment pas à IndexedDB.

— Arjan

Mon commentaire à propos de son commentaire "pas tout à fait pour cette origine" était erroné. En fait, il supprime également les cookies. Je mettrai à jour la réponse pour refléter cela.

— Ben Kelly

C'est un équilibre difficile entre inciter quand approprié et inciter trop. Actuellement, le stockage est conçu autour de l'idée. Les sites peuvent utiliser le stockage sans invite, mais le navigateur est libre de le supprimer sous pression. Si le site veut un stockage persistant, il a besoin d'une invite. Les API de stockage sont désactivées dans les iframes tiers lorsque les cookies tiers sont désactivés. À l'avenir, nous pourrons peut-être passer à "double saisie" de l'origine en fonction de l'origine de la fenêtre de niveau supérieur (comme dans le cas de safari), ce qui isolerait davantage le stockage. En FF, cela s'appelle "l'isolement de la première partie" et provient du projet TOR.

— Ben Kelly

@ Ben Kelly: Cela ne couvre toujours pas le cas d'utilisation "autoriser tous les sites Web à tout stocker pour maintenir la fonctionnalité, mais supprimer automatiquement le stockage à la sortie du navigateur", n'est-ce pas? La navigation privée n'est pas une bonne solution non plus, car elle ne conserve rien du tout (peut-être que je veux toujours conserver l'historique de mon navigateur ou le stockage des sites en lesquels j'ai confiance. Et non, je ne veux pas basculer tout le temps entre la navigation normale et privée .)

— manuel

Le réglage du cookie "supprimer à la sortie" ne s'applique pas à des éléments tels que BID. J'ai déposé un bogue ici bugzilla.mozilla.org/show_bug.cgi?id=1400678 . Je crois que nos autorisations globales UX sont également remaniées, mais je ne suis pas sûr que le type de restrictions de stockage dont il est question ici soit inclus ou non. J'ai également déposé un bogue pour cela: bugzilla.mozilla.org/show_bug.cgi?id=1400679 . Nous travaillons pour améliorer ces fonctionnalités, mais c’est un processus progressif. Désolé pour les problèmes.

— Ben Kelly le

Edit: Veuillez lire le commentaire de Ben Kelly avant de manipuler les fichiers de votre profil.

Comme il n'y a pas de solution dans Firefox, on peut facilement implémenter un correctif temporaire en dehors de Firefox. Les fichiers indexés sont stockés dans le répertoire <profile>/storage/default. En vidant ce dossier (par exemple via un script planifié), vous pouvez récupérer le contrôle total sur vos données et la durée de leur persistance. Étant donné que chaque site Web est stocké dans un dossier distinct, vous pouvez même mettre en place une liste blanche / liste noire ou, en gros, toutes les politiques de votre choix, étant donné votre expérience en programmation.

Ce n'est pas une bonne solution ni une excuse pour les développeurs de Firefox de continuer à reporter une solution appropriée pour cela. (Les rapports de bug existent depuis des années!)

Et sachez que le format et l'emplacement des données peuvent changer avec le temps. Par exemple, dans une version précédente, toutes les données IndexedDB étaient stockées dans un seul fichier SQL.

— manuel
source

Notez que cela peut corrompre votre profil pour certains sites. Certains états (tels que les enregistrements de prestataire de services) sont stockés en dehors de ce répertoire. Les sites peuvent devenir confus si le stockage est supprimé, mais l'enregistrement du prestataire de services reste. Notre nouvelle suppression UX "Site Data" est disponible en novembre et constitue une meilleure solution. Ou, exécutez simplement en mode de navigation privée qui désactive tout le stockage.

— Ben Kelly le

@BenKelly "... sont stockés en dehors de ce répertoire." Qu'est-ce que ça veut dire? Stocké où? Comment pouvons-nous supprimer cette partie aussi?

— John1024

Nous ne prenons pas en charge les modifications arbitraires du répertoire de profil. Si vous commencez à supprimer manuellement des éléments, ne soyez pas surpris si votre profil est corrompu et si les sites ne fonctionnent pas correctement. Je ne le recommande vraiment pas. Certains des problèmes soulevés par la question initiale sont en train d'être résolus au moment où nous parlons. En outre, la navigation privée, les conteneurs, etc. ont été mentionnés comme solutions immédiates. S'il vous plaît, ne modifiez pas votre profil à la main.

— Ben Kelly