Comment ce site Web peut-il me réidentifier même après la suppression de tout l'historique de mon navigateur et l'utilisation d'un VPN?
Le site Web dropmail.me est en mesure de me réidentifier avec succès (et de proposer mes dernières adresses électroniques temporaires utilisées via. "Restaurer l'accès") en dépit de ce qui suit:
- Supprimez tout l'historique de mes navigateurs, notamment le cache, les cookies, les paramètres de site Web, l'historique des téléchargements, l'historique des recherches, l'historique du navigateur et les connexions actives. Fondamentalement, tout ce qui peut être supprimé via le menu Firefox. J'utilise Firefox 52 ESR.
- Utilisez un VPN (qui, selon leurs revendications, est sans danger contre les fuites IPv6 et DNS) que je n’ai pas utilisé lors de ma précédente visite sur ce site Web.
- Utiliser uBlock Origin et uMatrix
Information additionnelle:
- Mon "identité" doit en quelque sorte être liée à mon profil de navigateur actuel. Lorsque j'utilise un navigateur différent ou un nouveau profil de navigateur, le site Web ne me réidentifie pas comme étant la même personne. En fait, il suffit d’utiliser l’addon Firefox Priv8 et de créer un nouveau sandbox pour s’identifier en tant que personne différente. Cela pourrait indiquer qu'il existe un type de stockage pour les sites Web qui ne peut pas être consulté ou supprimé via Firefox. (Ce ne sont pas des cookies Flash, le site Web n'utilise pas Flash!)
- (Mise à jour) Les autres navigateurs ne sont pas affectés. Microsoft Edge, après avoir supprimé l'historique du navigateur, ne permet pas la réidentification. Ceci est un problème réservé à Firefox!
Mes questions sont:
- Comment sont-ils capables de me réidentifier? Étant donné que leur seule motivation pour me réidentifier est d’offrir l’accès à des adresses de messagerie précédemment utilisées, je ne pense pas qu’ils utilisent des techniques «sombres», telles que la prise d’empreintes digitales, mais cela ne peut évidemment pas être exclu.
- Comment puis-je me protéger de ce type de "super suivi" utilisé par ce site?
Le site Web utilise IndexedDB, pour lequel MDN écrit :
IndexedDB est un moyen pour vous de stocker de manière persistante des données dans le navigateur d'un utilisateur. Parce qu'il vous permet de créer des applications Web avec de riches capacités de requête, quelle que soit la disponibilité du réseau, vos applications peuvent fonctionner en ligne et hors ligne.
Ne pas effacer cela ressemble à un bogue dans Firefox, mais apparemment, les développeurs pensent le contraire. Comme en mars 2015, quelqu'un a écrit :
Mais même lorsque vous supprimez toutes vos informations d’historique, les données de IndexedDB persistent.
La bonne façon de supprimer ces données consiste à accéder à l'adresse
about:permissions, à rechercher le domaine et à appuyer sur le boutonForget About This Site.
Bien que about:permissions ne fonctionne pas dans mon Firefox 55, en allant dans Outils, Informations de page, Autorisations, je reçois le bouton "Effacer le stockage":
Pire encore, ni le _ grisé "Utiliser par défaut: Toujours demander"dans la capture d'écran ci-dessus, ni activer "Vous avertir lorsqu'un site Web vous demande de stocker des données pour une utilisation hors connexion"dans les paramètres, Options avancées, Réseau, n’importe quel effet pour éviter le stockage:
Il semble ce qui suit d'août 2011 peut encore s'appliquer (où "[seulement]" est ajouté par moi):
Par défaut, dans Firefox 4, un site peut utiliser jusqu'à 50 Mo de stockage IndexedDB. [Seulement] S'il essaie d'utiliser plus de 50 Mo, Firefox demandera à l'utilisateur la permission [...]
Dans Firefox pour les appareils mobiles (Google Android et Nokia Maemo), Firefox demandera [uniquement] l'autorisation si un site tente d'utiliser plus de 5 Mo [...]
Pour le désactiver complètement, allez à about:config et désactivez dom.indexedDB.enabled. Cependant, sachez que cela pourrait également affecter les plugins/add-ons, ce qui semble être la raison pour laquelle certains veulent supprimer cette option, pour laquelle quelqu'un noté en mai 2016 :
Jusqu'à ce que IndexedDB soit traité de la même manière que les cookies en ce qui concerne l'acceptation/la compensation et le comportement de tiers, cette préférence doit exister.
(On peut trouver dom.storage.enabled intéressant aussi ...)
Comme l'a noté Arjan , il est malheureusement facile de laisser les données de site déjà installées. Cela s'améliore quelque peu avec la nouvelle conception des préférences UX dans FF57.
Par exemple, sous "Confidentialité et sécurité", il existe maintenant une section "Données du site":
En cliquant sur les "paramètres" des données du site, vous pourrez supprimer les données du site pour une origine spécifique:
Cela supprimera les données stockées dans IDB, l'API de cache, etc. Cela supprimera également les cookies pour Origin:
(Désolé de ne pas en faire un commentaire sous La réponse d'Arjan , mais je voulais inclure ces captures d'écran.)
Disclaimer: Je suis un employé de Mozilla
Edit: Veuillez lire le commentaire de Ben Kelly avant de manipuler les fichiers de votre profil.
Comme il n'y a pas de solution dans Firefox, on peut facilement mettre en place un correctif temporaire en dehors de Firefox. Les fichiers indexés sont stockés dans le répertoire <profile>/storage/default. En vidant ce dossier (par exemple via un script planifié), vous pouvez récupérer le contrôle total de vos données et de la durée de leur persistance. Étant donné que chaque site Web est stocké dans un dossier distinct, vous pouvez même mettre en place une liste blanche/liste noire ou, en gros, chaque politique de votre choix, étant donné votre expérience en programmation.
Ce n'est pas une solution intéressante ni une excuse pour que les développeurs de Firefox continuent de reporter une solution appropriée à cet égard. (Les rapports de bug existent depuis des années!)
Et sachez que le format et l'emplacement des données peuvent changer avec le temps. Par exemple, dans une version précédente, toutes les données IndexedDB étaient stockées dans un seul fichier SQL.