ブラウザの履歴をすべて削除し、VPNを使用した後でも、このWebサイトでどのように識別できますか?


222

Webサイトdropmail.meは、次の操作を行っても、私を正常に再識別できます(そして、最後に使用した一時メールアドレスを「復元アクセス」経由で提供します)。

  • キャッシュ、Cookie、ウェブサイト設定、ダウンロード履歴、検索履歴、ブラウザ履歴、アクティブなログインを含むすべてのブラウザ履歴を削除します。基本的に、Firefoxメニューから削除できるすべてのもの。Firefox 52 ESRを使用しています。
  • 以前にこのWebサイトにアクセスしたときに使用したことのないVPN(IPv6およびDNSの漏洩に対して安全であると主張するVPN)を使用します。
  • uBlock OriginとuMatrixの使用

追加情報:

  • 私の「アイデンティティ」は、何らかの形で現在のブラウザプロファイルにバインドされている必要があります。別のブラウザーまたは新しいブラウザープロファイルを使用する場合、Webサイトは私を同じ人物として再識別しません。実際には、FirefoxアドオンPriv8を使用して、別の人物として識別される新しいサンドボックスを作成するだけで十分です。これは、Firefoxを介してアクセスまたは削除できないWebサイト用のストレージがあることを示している可能性があります。(Flash Cookieではなく、WebサイトはFlashを使用しません!)
  • (更新)他のブラウザは影響を受けません。Microsoft Edgeは、ブラウザー履歴を削除した後、再識別を許可しません。これはFirefoxのみの問題です!

私の質問は:

  • 彼らは一体どのように私を再確認することができますか?私を再確認する彼らの唯一の動機は、以前に使用したメールアドレスへのアクセスを提供することであるため、指紋のような「暗い」技術を使用するとは思わないが、もちろん除外することはできない。
  • このWebサイトで使用されるこの種の「スーパートラッキング」からどのように保護できますか?

6
アクセス時にシークレットモードを使用します。ChromeとIEにはそれがあります。Firefoxにもあると思います。
Appleoddity

5
@Appleoddity:はい、シークレットモードは役立ちますが、私が理解している限り、ウェブサイトがブラウザの履歴などを保存したり読み取ったりすることはできません。したがって、すべてを削除しても同じ効果がありますが、そうではありません。Firefoxのバグでしょうか?
マヌエル


2
@Prime、この場合はそうではありません。マヌエルは正しい:「私を再確認する唯一の動機は以前に使用したメールアドレスへのアクセスを提供することなので、彼らは「ダーク」テクニックを使用するとは思わない」と、単に標準を使用しているコードを覗くWebテクノロジー。この特定のケースでは、Firefoxがここで非難します。
アルジャン

9
でもクリアし、すべてをから保護しません、まだ指紋
o11c

回答:


253

このWebサイトはIndexedDBを使用しており、MDNは次のように記述しています

IndexedDBは、ユーザーのブラウザー内にデータを永続的に保存する方法です。ネットワークの可用性に関係なく、豊富なクエリ機能を持つWebアプリケーションを作成できるため、アプリケーションはオンラインとオフラインの両方で動作できます。

クリアしないと、Firefoxのバグのように聞こえますが、開発者はそうではないと感じているようです。2015年3月のように、誰かが書いた

ただし、すべての履歴情報を削除しても、IndexedDBのデータは保持されます。

このデータを削除する正しい方法は、about:permissionsアドレス指定に行き、ドメインを探してForget About This Siteボタンを押すことです。

一方でabout:permissions、私はボタンを取得し、私のFirefox 55、ツールに入って、ページ情報、権限「をクリアストレージ」では動作しません。

ページ情報ダイアログ

さらに悪いことに、上記のスクリーンキャプチャでグレー表示された[ デフォルトを使用:常に確認]も、[詳細設定]、[ネットワーク]の設定で[ Webサイトがオフライン使用データの保存を要求するときに通知する]を有効にしても、 :

高度な設定

2011年8月以降は次のように適用されるようです(「[only]」は私によって追加されます)。

Firefox 4のデフォルトでは、サイトは最大50MBのIndexedDBストレージを使用できます。[のみ] 50MB以上を使用しようとすると、Firefoxはユーザーに許可を求めます[...]

モバイルデバイス用のFirefox(Google AndroidおよびNokia Maemo)では、サイトが5MB以上を使用しようとすると[のみ] Firefoxが許可を求めます[...]

完全に無効にするには、に移動しabout:configて無効にしdom.indexedDB.enabledます。ただし、そのようなプラグイン/アドオンにも影響する可能性があることに注意してください。そのため、2016年5月に誰かが指摘したように、そのオプションを削除したい人がいるようです

IndexedDBが受け入れ/消去およびサードパーティの動作に関してCookieと同じ方法で処理されるまで、この設定が存在する必要があります。

dom.storage.enabled面白いと思うかもしれません...)


153
確かに。ワオ。それは大したことです。ブラウザには、「あなたのプライバシーの保護に取りつかれているような抜け穴はありませんでした。
マヌエル

23
これを無効にすると、前述のWebサイト、さらにおそらく他のWebサイトも破壊されます。Mozillaがこれを再検討することを期待しましょう。解決策の1つは、ブラウザを閉じた後にこのストレージを削除し、信頼できる選択したサイトのみが永続的なストレージを持つことができるようにすることです。(これが現時点でCookieを処理する方法です)
マニュエル


10
ドイツのメディアはこのトピックに言及しています:heise.de/-3835084
StanE

27
MozillaがIndexedDBをCookieとは異なる方法で扱うことは、常に非常に愚かです。それはまだ露骨に一種のクッキーです。プロトコルは異なりますが、明らかにすべてのCookieをブロックまたは削除する場合、プロトコルは気にしません。残念ながら、Mozillaの慣行は常に「今すぐ機能を追加し、もしあったとしても、今から何年もプライバシーの影響を整理する」ことです。@manuel about:configを少し見てみてください。Firefoxには本当に多くの恐ろしいものが組み込まれており、デフォルトで有効になっています。Mozillaが主張するプライバシー保護の姿勢は純粋なマーケティングであり、それ以上のものではありません。
Boann

59

Arjanが指摘したように、残念ながら、現在インストールされているサイトデータを残すのは簡単です。これは、FF57でのUXの再設計の設定により、いくらか改善されています。

たとえば、「プライバシーとセキュリティ」の下に「サイトデータ」セクションがあります。

Firefox 57のプライバシーとセキュリティメニューを再設計しました

サイトデータの「設定」をクリックすると、特定のオリジンのサイトデータを削除できます。

設定-サイトデータ

これにより、IDB、キャッシュAPIなどに保存されているデータが削除されます。また、オリジンのCookieも削除されます。

特定のサイトのサイトデータを削除する

(これをArjanの回答でコメントにしないで申し訳ありませんが、これらのスクリーンショットを含めたかったのです。)

免責事項:私はMozillaの従業員です


4
たとえそれがほんの少しであっても、最初にデータを保存する許可をユーザーに実際に求めることを計画している場合、何か考えはありますか?(サードパーティのサイトの場合、「サードパーティのCookieを許可する」設定がIndexedDBにも適用されることをどこかで読みましたが、それをテストしていません。) IndexedDBには当てはまらないように思えます。
アルジャン

「この起源の核ではない」というコメントについての私のコメントは間違っていました。実際にCookieも削除します。これを反映するように回答を更新します。
ベン・ケリー

8
適切な場合にプロンプ​​トを出すことと、過度にプロンプ​​トを出すこととの難しいバランス。現在、ストレージはアイデアサイトを中心に設計されており、サイトはプロンプトなしでストレージを使用できますが、ブラウザはプレッシャーの下で自由に削除できます。サイトに永続的なストレージが必要な場合は、プロンプトが必要です。サードパーティのCookieが無効になっている場合、サードパーティのiframeでストレージAPIが無効になります。将来的には、ストレージをさらに分離するトップレベルのウィンドウの起点(サファリが行ったように)に基づいて、起点を「ダブルキー」に移行する可能性があります。FFでは、これは「ファーストパーティ分離」と呼ばれ、TORプロジェクトに由来します。
ベン・ケリー

7
@Ben Kelly:まだ「すべてのWebサイトが機能を維持するためにすべてを保存することを許可しますが、ブラウザ終了時にストレージを自動的に削除する」ユースケースはカバーしていません。プライベートブラウジングは、まったく何も保持しないため、優れたソリューションではありません(おそらく、ブラウザの履歴や、本当に信頼するサイトのストレージを保持したいのかもしれません。 。)
マヌエル

19
「終了時に削除」Cookie設定はIDBなどには適用されません。ここでバグをbugzilla.mozilla.org/show_bug.cgi?id=1400678に提出しました。UXの全体的なアクセス許可も変更されていると思いますが、ここで説明している種類のストレージ制限が含まれているかどうかはわかりません。私もそのためにバグを提出しました:bugzilla.mozilla.org/show_bug.cgi?id=1400679。これらの機能の改善に取り組んでいますが、漸進的なプロセスです。問題についてごめんなさい。
ベン・ケリー

5

編集:プロファイル内のファイルをいじる前に、Ben Kellyのコメントを読んでください。


Firefoxには解決策がないため、Firefoxの外部でこの問題に対する一時的な修正を簡単に実装できます。IndexedDBファイルはディレクトリに保存されます<profile>/storage/default。このフォルダーを空にすることで(たとえば、スケジュールされたスクリプトを使用して)、データとその存続期間を完全に制御できます。各Webサイトは個別のフォルダーに保存されるため、プログラミングの経験がある場合は、ホワイトリスト/ブラックリストまたは基本的に必要なすべてのポリシーを実装することもできます。

Firefoxの開発者が適切な解決策を延期し続けるのは良い解決策ではなく、言い訳にもなりません。(バグレポートは何年も存在します!)

また、データ形式と場所は時間とともに変化する可能性があることに注意してください。たとえば、以前のバージョンでは、すべてのIndexedDBデータは単一のSQLファイルに保存されていました。


2
これにより、特定のサイトのプロファイルが破損する可能性があることに注意してください。一部の状態(Service Worker登録など)は、このディレクトリの外部に保存されます。ストレージが削除されるとサイトが混乱する可能性がありますが、Service Workerの登録は残ります。新しい「サイトデータ」削除UXは11月に出荷され、より優れたソリューションです。または、すべてのストレージを無効にするプライベートブラウジングモードで実行するだけです。
ベン・ケリー

1
@BenKelly 「...このディレクトリの外に保存されます。」 どういう意味ですか?どこに保管されていますか?その部分もどのように削除しますか?
John1024

2
プロファイルディレクトリへのarbitrary意的な変更はサポートしていません。手動で削除を開始した場合、プロファイルが破損してサイトが正しく機能しなくても驚かないでください。本当にお勧めしません。ここでの元の質問によって提起された問題のいくつかは、我々が話すように修正されています。また、即時の解決策として、プライベートブラウジング、コンテナなどが挙げられています。プロフィールを手で変更しないでください。
ベン・ケリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.