220 votes

manuel avatar

Comment ce site web peut-il me réidentifier même après avoir supprimé tout l'historique de mon navigateur et utilisé un VPN ?

Demandé el 16 de Septembre, 2017
Quand la question a-t-elle été
32266 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Le site web dropmail.me est capable de me réidentifier avec succès (et d'offrir mes dernières adresses de messagerie temporaire utilisées via "Restaurer l'accès") malgré les actions suivantes :

  • Supprimez tout l'historique de mes navigateurs, notamment le cache, les cookies, les paramètres des sites Web, l'historique des téléchargements, l'historique des recherches, l'historique du navigateur et les connexions actives. En gros, tout ce qui peut être supprimé dans le menu de Firefox. J'utilise Firefox 52 ESR.
  • Utiliser un VPN (qui, selon leurs affirmations, est sûr contre les fuites d'IPv6 et de DNS) que je n'ai pas utilisé lors de mes précédentes visites sur ce site.
  • Utilisation de uBlock Origin et uMatrix

Informations complémentaires :

  • Mon "identité" doit être liée d'une manière ou d'une autre au profil de mon navigateur actuel. Lorsque j'utilise un autre navigateur ou un nouveau profil de navigateur, le site web ne me réidentifie pas comme la même personne. En fait, il suffit d'utiliser l'addon Firefox Priv8 et créer un nouveau bac à sable pour être identifié comme une personne différente. Cela pourrait indiquer qu'il existe une sorte de stockage pour les sites Web qui ne peut pas être consulté ou supprimé par Firefox. (Il ne s'agit pas de cookies Flash, le site web n'utilise pas Flash !)
  • (Mise à jour) Les autres navigateurs ne sont pas concernés. Microsoft Edge, après avoir supprimé l'historique du navigateur, ne permet pas la réidentification. Il s'agit d'un problème propre à Firefox !

Mes questions sont les suivantes :

  • Comment diable peuvent-ils me réidentifier ? Étant donné que leur seule motivation pour me réidentifier est d'offrir un accès aux adresses électroniques précédemment utilisées, je ne pense pas qu'ils utilisent des techniques "sombres" comme les empreintes digitales, mais on ne peut évidemment pas l'exclure.
  • Comment puis-je me protéger de ce type de "super-tracking" utilisé par ce site web ?
Demandé el 16 de Septembre, 2017 par manuel

6 votes

Avatar de Appleoddity

Utilisez le mode incognito lors de vos visites. Chrome et IE l'ont, je suis sûr que Firefox l'a aussi.

Commenté el 16 de Septembre, 2017 par Appleoddity

1 votes

Avatar de LPChip

Vous vous connectez à un moment donné ?

Commenté el 16 de Septembre, 2017 par LPChip

6 votes

Avatar de manuel

@Appleoddity : Oui, le mode incognito aide, mais d'après ce que je comprends, cela empêche juste les sites Web de stocker ou de lire l'historique du navigateur, etc. Donc, lorsque je supprime tout, cela devrait avoir le même effet, mais ce n'est pas le cas. Peut-être un bug dans Firefox ?

Commenté el 16 de Septembre, 2017 par manuel
Afficher 11 autres commentaires

Réponses

Trop de publicités?

251voto

Thej avatar
Thej Points 655

Le site web utilise IndexedDB, pour lequel MDN écrit :

IndexedDB est un moyen pour vous de stocker de manière persistante des données dans le navigateur d'un utilisateur. Parce qu'elle vous permet de créer des applications web avec des capacités de requête riches indépendamment de la disponibilité du réseau, vos applications peuvent fonctionner à la fois en ligne et hors ligne.

Ne pas dégager cela ressemble à un bug dans Firefox en effet, mais apparemment les développeurs pensent autrement. Comme en mars 2015, quelqu'un a écrit :

Mais même si vous supprimez toutes vos informations d'historique, les données de l'IndexedDB persistent.

La bonne façon de supprimer ces données est de se rendre à l'adresse suivante about:permissions l'adresse, recherchez le domaine et appuyez sur le Forget About This Site bouton.

Alors que about:permissions ne fonctionne pas dans mon Firefox 55, en allant dans Outils, Infos sur la page, Permissions, j'obtiens le bouton "Effacer le stockage" :

Page Info dialog

Pire encore, ni l'écran grisé "Utilisez la méthode par défaut : Toujours demander" dans la capture d'écran ci-dessus, ni l'activation de "Vous avertir lorsqu'un site web demande de stocker des données pour une utilisation hors ligne". dans les paramètres, Avancé, Réseau, n'ont aucun effet pour éviter le stockage :

Advanced settings

Il semble le texte suivant d'août 2011 peuvent encore s'appliquer (où "[seulement]" est ajouté par moi) :

Par défaut, dans Firefox 4, un site peut utiliser jusqu'à 50 Mo de stockage dans IndexedDB. [S'il tente d'utiliser plus de 50 Mo, Firefox demande l'autorisation à l'utilisateur [...].

Dans Firefox pour les appareils mobiles (Google Android et Nokia Maemo), Firefox demandera [uniquement] la permission si un site tente d'utiliser plus de 5 Mo [...].

Pour le désactiver complètement, allez à l'adresse suivante about:config et de désactiver dom.indexedDB.enabled . Cependant, il faut savoir que cela peut également affecter les plugins/add-ons, ce qui semble être la raison pour laquelle certains veulent supprimer cette option, pour laquelle quelqu'un a noté en mai 2016 :

Jusqu'à ce que l'IndexedDB soit traité de la même manière que les cookies en ce qui concerne l'acceptation/le retrait et le comportement des tiers, ce préfixe devrait exister.

(On peut trouver dom.storage.enabled intéressant aussi...)

Répondu el 16 de Septembre, 2017 par Thej (655 Points )

154 votes

Avatar de manuel

En effet. Wow. C'est une grosse affaire. Je ne savais pas qu'il y avait une telle faille dans le navigateur qui est "obsédé par la protection de votre vie privée" .

Commenté el 16 de Septembre, 2017 par manuel

2 votes

Avatar de Thej

@manuel, j'ai ajouté un about:config et quelques références supplémentaires. Pas très satisfaisant... :-(

Commenté el 16 de Septembre, 2017 par Thej

0 votes

Avatar de Thej

...mais, @manuel, le fait de le désactiver pourrait affecter les plugins/add-ons, alors faites attention. Je m'en vais ;-)

Commenté el 16 de Septembre, 2017 par Thej
Afficher 13 autres commentaires

57voto

Ben Kelly avatar
Ben Kelly Points 689

Comme l'a noté Arjan il est malheureusement facile de laisser site-data installé actuellement. La situation s'améliore quelque peu avec la refonte de l'interface utilisateur des préférences dans FF57.

Par exemple, sous "Confidentialité et sécurité", il y a maintenant une section "Données du site" :

Redesigned Privacy & Security menu in Firefox 57

En cliquant sur les "paramètres" des données du site, vous pourrez supprimer les données du site pour une origine spécifique :

Settings - Site Data

Cela supprimera les données stockées dans la BDI, l'API Cache, etc. Elle supprimera également les cookies de l'origine :

Removing site data for a specific site

(Désolé de ne pas en faire un commentaire sous La réponse d'Arjan mais je voulais inclure ces captures d'écran).

Clause de non-responsabilité : je suis un employé de Mozilla

Répondu el 17 de Septembre, 2017 par Ben Kelly (689 Points )

4 votes

Avatar de Thej

Savez-vous si vous envisagez également de demander à l'utilisateur l'autorisation de stocker les données pour commencer, même s'il ne s'agit que d'un seul bit ? (J'ai lu quelque part que pour les sites tiers, le paramètre "autoriser les cookies tiers" s'applique également à IndexedDB, mais je ne l'ai pas testé). Le paramètre "Contenu Web et données utilisateur hors ligne" est assez trompeur, je pense, car il ne s'applique apparemment pas à IndexedDB.

Commenté el 17 de Septembre, 2017 par Thej

0 votes

Avatar de Ben Kelly

Mon commentaire sur son commentaire "pas un nuke tout pour cette origine" était faux. En fait, il supprime également les cookies. Je vais mettre à jour la réponse pour refléter cela.

Commenté el 17 de Septembre, 2017 par Ben Kelly

8 votes

Avatar de Ben Kelly

Il s'agit d'un équilibre difficile à trouver entre le fait de donner des instructions lorsque c'est approprié et le fait de donner trop d'instructions. À l'heure actuelle, la conception du stockage repose sur l'idée que les sites peuvent utiliser le stockage sans y être invités, mais que le navigateur est libre de le supprimer sous la pression. Si le site souhaite un stockage permanent, il doit être invité à le faire. Les API de stockage sont désactivées dans les iframes de tierces parties lorsque les cookies de tierces parties sont désactivés. À l'avenir, nous pourrions passer à une "double clé" de l'origine basée sur l'origine de la fenêtre de premier niveau (comme Safari l'a fait), ce qui isolerait davantage le stockage. Dans FF, cela s'appelle "isolation de la première partie" et provient du projet TOR.

Commenté el 17 de Septembre, 2017 par Ben Kelly
Afficher 3 autres commentaires

5voto

manuel avatar
manuel Points 1978

Editar: Veuillez lire le commentaire de Ben Kelly avant de modifier les fichiers de votre profil.

Puisqu'il n'y a pas de solution dans Firefox, on peut facilement mettre en place une solution temporaire pour ce problème en dehors de Firefox. Les fichiers IndexedDB sont stockés dans le répertoire <profile>/storage/default . En vidant ce dossier (par exemple par le biais d'un script programmé), vous pouvez reprendre le contrôle total de vos données et de leur durée de persistance. Comme chaque site web est stocké dans un dossier distinct, vous pouvez même mettre en place une liste blanche/blacklist ou, en gros, toutes les politiques que vous voulez, à condition d'avoir une certaine expérience de la programmation.

Ce n'est pas une bonne solution et ce n'est pas une excuse pour les développeurs de Firefox de continuer à repousser une solution appropriée pour cela. (Les rapports de bogue existent depuis des années maintenant !)

Et sachez que le format et l'emplacement des données peuvent changer au fil du temps. Par exemple, dans une version précédente, toutes les données de l'IndexedDB étaient stockées dans un seul fichier SQL.

Répondu el 17 de Septembre, 2017 par manuel (1978 Points )

2 votes

Avatar de Ben Kelly

Notez que cela peut corrompre votre profil pour certains sites. Certains états (comme les enregistrements des travailleurs de service) sont stockés en dehors de ce répertoire. Les sites peuvent s'embrouiller si le stockage est supprimé, mais que l'enregistrement du travailleur de service reste. Notre nouvelle interface utilisateur de suppression des "données du site" sera disponible en novembre et constitue une meilleure solution. Vous pouvez aussi utiliser le mode de navigation privée, qui désactive tout le stockage.

Commenté el 17 de Septembre, 2017 par Ben Kelly

1 votes

Avatar de John1024

@BenKelly "...sont stockés en dehors de ce répertoire." Qu'est-ce que ça veut dire ? Stocké où ? Comment supprimer aussi cette partie ?

Commenté el 23 de Septembre, 2017 par John1024

2 votes

Avatar de Ben Kelly

Nous ne supportons pas les modifications arbitraires du répertoire de profil. Si vous commencez à supprimer manuellement des éléments, ne soyez pas surpris si votre profil est corrompu et si les sites ne fonctionnent pas correctement. Je ne le recommande vraiment pas. Certains des problèmes soulevés par la question initiale sont en cours de résolution. La navigation privée, les conteneurs, etc. ont également été mentionnés comme des solutions immédiates. Veuillez ne pas modifier manuellement votre profil.

Commenté el 24 de Septembre, 2017 par Ben Kelly

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X