即使删除了我所有浏览器的历史记录并使用了 VPN,该网站如何重新识别我的身份?
man*_*uel 222 browser firefox privacy tracking private-browsing
尽管执行以下操作,网站dropmail.me 仍能够成功重新识别我的身份(并通过“恢复访问”提供我上次使用的临时邮件地址):
- 删除我的所有浏览器历史记录,包括缓存、cookie、网站设置、下载历史记录、搜索历史记录、浏览器历史记录和活动登录。基本上可以通过 Firefox 菜单删除的所有内容。我正在使用 Firefox 52 ESR。
- 使用我之前访问该网站时未使用过的 VPN(根据他们的说法,该 VPN 可以防止 IPv6 和 DNS 泄漏)。
- 使用 uBlock Origin 和 uMatrix
附加信息:
- 我的“身份”必须以某种方式绑定到我当前的浏览器配置文件。当我使用不同的浏览器或新的浏览器配置文件时,网站不会将我重新识别为同一个人。实际上,使用 Firefox 插件Priv8并创建一个新的沙箱来识别不同的人就足够了。这可能表明存在某种无法通过 Firefox 访问或删除的网站的存储空间。(这不是 Flash cookie,该网站不使用 Flash!)
- (更新)其他浏览器不受影响。Microsoft Edge 在删除浏览器历史记录后不允许重新识别。这是一个仅限 Firefox 的问题!
我的问题是:
- 他们到底怎么能重新识别我的身份?由于他们重新识别我的唯一动机是提供对以前使用过的邮件地址的访问权限,因此我认为他们不会使用任何“暗”技术,例如指纹识别,但当然不能排除这种情况。
- 我如何才能防止本网站使用的这种“超级跟踪”?
Arj*_*jan 253
IndexedDB 是一种将数据持久存储在用户浏览器中的方法。因为它允许您创建具有丰富查询功能的 Web 应用程序,而不管网络可用性如何,您的应用程序都可以在线和离线工作。
不清除它确实听起来像是 Firefox 中的一个错误,但显然开发人员并不这么认为。就像在 2015 年 3 月,有人写道:
但即使您删除了所有历史信息,IndexedDB 中的数据仍然存在。
删除此数据的正确方法是访问
about:permissions地址,查找域并按下Forget About This Site按钮。
虽然about:permissions在我的 Firefox 55 中不起作用,但进入“工具”、“页面信息”、“权限”后,我会看到“清除存储”按钮:
更糟糕的是,上面屏幕截图中灰显的“使用默认值:始终询问”,以及在设置、高级、网络中启用“告诉您网站何时要求存储数据以供离线使用”都没有任何影响避免存储:
2011 年 8 月的以下内容似乎仍然适用(我添加了“[only]”):
默认情况下,在 Firefox 4 中,站点最多可以使用 50MB 的 IndexedDB 存储空间。[仅] 如果它尝试使用超过 50MB,Firefox 将请求用户许可 [...]
在用于移动设备的 Firefox(谷歌 Android 和诺基亚 Maemo)中,如果网站试图使用超过 5MB [...]
要完全禁用它,请转到about:config并禁用dom.indexedDB.enabled。但是,请注意,这也可能会影响插件/附加组件,这似乎就是为什么有些人想要删除该选项的原因,有人在 2016 年 5 月指出:
在 IndexedDB 在接受/清除和第三方行为方面以与 cookie 相同的方式处理之前,此首选项应该存在。
(大家可能也会觉得dom.storage.enabled很有趣……)
- 的确。哇。这是一个大问题。我现在没有在浏览器中有这样一个漏洞[“痴迷于保护您的隐私”](https://www.mozilla.org/en-US/firefox/features/private-browsing/)。 (154认同)
- 另见,https://bugzilla.mozilla.org/show_bug.cgi?id=1047098 (28认同)
- Mozilla 将 IndexedDB 与 cookie 区别对待一直是非常愚蠢的。它仍然是一种明显的饼干。协议是不同的,但很明显,如果我想阻止或删除所有 cookie,我不关心协议。不幸的是,Mozilla 的做法总是“现在添加功能,从现在开始解决隐私影响,如果有的话”。@manuel 尝试浏览 about:config 一段时间。Firefox 内置了很多可怕的东西,默认情况下是启用的。Mozilla 所谓的保护隐私的立场是纯粹的营销,仅此而已。 (27认同)
- 禁用它甚至会破坏之前提到的网站,也可能会破坏其他网站。让我们希望 Mozilla 能再看看这个。一种解决方案可能是在我关闭浏览器后删除此存储,并且只有我信任的选定站点才能拥有永久存储。(这是我目前处理 cookie 的方式) (23认同)
- 德国媒体提到这个话题:https://heise.de/-3835084 (10认同)
- @manuel,我添加了一个 `about:config` 设置和更多参考。不是很满意... :-( (2认同)
- @manuel 我想知道他们是否已经从 Firefox 中删除了所有的 Netscape Navigator 代码? (2认同)
Ben*_*lly 58
正如 Arjan 所指出的,不幸的是,很容易让当前安装的站点数据保持不变。随着 FF57 中偏好的 UX 重新设计,这种情况有所改善。
例如,在“隐私和安全”下,现在有一个“站点数据”部分:
单击站点数据“设置”将允许您删除特定来源的站点数据:
这将删除存储在 IDB、缓存 API 等中的数据。它还将删除源的 cookie:
(抱歉没有在Arjan 的回答下发表评论,但我想包括这些截图。)
免责声明:我是 Mozilla 员工
- 您纠正了“退出时删除”cookie 设置不适用于 IDB 之类的内容。我在这里提交了一个错误 https://bugzilla.mozilla.org/show_bug.cgi?id=1400678。我相信我们的整体权限用户体验也在重新设计,但我不确定这里讨论的存储限制类型是否包括在内。我也为此提交了一个错误:https://bugzilla.mozilla.org/show_bug.cgi?id=1400679。我们正在努力改进这些功能,但这是一个渐进的过程。很抱歉这些问题。 (19认同)
- 在适当的时候提示和过多提示之间很难平衡。现在存储是围绕这个想法设计的,网站可以在没有提示的情况下使用存储,但浏览器可以在压力下自由删除它。如果站点想要持久存储,那么他们需要提示。当 3rd 方 cookie 被禁用时,存储 API 在 3rd 方 iframe 中被禁用。将来,我们可能会根据顶级窗口原点(如 safari 所做的)对原点进行“双重键控”,这将进一步隔离存储。在 FF 中,这称为“第一方隔离”,来自 TOR 项目。 (8认同)
- @Ben Kelly:它仍然没有涵盖“允许每个网站存储所有内容以维护功能但在浏览器退出时自动删除存储”的用例,对吗?隐私浏览也不是一个好的解决方案,因为它什么都不保留(也许我仍然想保留我真正信任的网站的浏览器历史记录或存储。不,我不想一直在正常浏览和隐私浏览之间切换.) (7认同)
- 知道您是否还打算实际提示用户允许存储数据开始,即使它只是一个位?(我在某处读到,对于第三方站点,“允许第三方 cookie”的设置也适用于 IndexedDB,但我没有测试过。)“离线 Web 内容和用户数据”设置非常具有欺骗性,我觉得,因为它显然不适用于 IndexedDB。 (4认同)
编辑:在处理您个人资料中的任何文件之前,请阅读 Ben Kelly 的评论。
由于 Firefox 内部没有解决方案,因此可以在 Firefox 外部轻松实现临时修复。IndexedDB 文件存储在目录中<profile>/storage/default。通过清空此文件夹(例如通过计划脚本),您可以恢复对数据及其持续时间的完全控制。由于每个网站都存储在单独的文件夹中,如果您有一些编程经验,您甚至可以实施白名单/黑名单或基本上您想要的所有策略。
这不是一个好的解决方案,也不是 Firefox 开发人员继续推迟为此提供适当解决方案的借口。(错误报告已经存在多年了!)
请注意,数据格式和位置可能会随着时间而改变。例如,在以前的版本中,所有 IndexedDB 数据都存储在单个 SQL 文件中。
- 请注意,这可能会损坏某些站点的配置文件。某些状态(如 Service Worker 注册)存储在此目录之外。如果删除存储,站点可能会感到困惑,但 Service Worker 注册仍然存在。我们新的“站点数据”删除 UX 将于 11 月发布,是一个更好的解决方案。或者,只需在禁用所有存储的隐私浏览模式下运行。 (2认同)
- 我们不支持对配置文件目录进行任意更改。如果您开始手动删除内容,那么如果您的个人资料损坏并且站点无法正常工作,请不要感到惊讶。我真的不推荐它。在我们发言时,这里原始问题提出的一些问题正在得到解决。此外,隐私浏览、容器等也被认为是即时解决方案。请不要手动修改您的个人资料。 (2认同)
| 归档时间: |
|
| 查看次数: |
31876 次 |
| 最近记录: |