Websites podem salvar informações dentro do navegador.
O exemplo mais conhecido é o . Também existem áreas de armazenamento como e . Elas são usadas para salvar estado de login, configurações, carrinho, identificadores e dados de aplicativos.
São mecanismos convenientes, mas no anonimato viram material forte de correlação.
Mesmo que o endereço IP mude, se o mesmo Cookie for enviado, o navegador pode ser tratado como o mesmo. Mesmo usando ou , se você usa a mesma área de armazenamento do ambiente de nome real, as atividades se conectam.
Este artigo organiza como áreas de armazenamento do navegador se relacionam ao anonimato. Os detalhes são tratados em "Diferença entre Cookie, sessionStorage e localStorage".
Áreas de armazenamento no navegador
Cookie, localStorage e IndexedDB são mecanismos para websites salvarem informações no lado do navegador.
Área de armazenamento
Uso principal
Cuidados para anonimato
Cookie
Estado de login, sessão, identificador
Enviado durante requisições
localStorage
Configurações, dados simples
Usado por JavaScript
IndexedDB
Dados maiores de aplicativos
Informações de Web apps permanecem
sessionStorage
Armazenamento temporário por aba
Estado durante a sessão permanece
Cache
Imagens e scripts
Vira pista de histórico de navegação
Esses mecanismos tornam a Web conveniente.
Mas enquanto você continua usando o mesmo navegador, suas ações tendem a aparecer como contínuas.
Por que isso é problema para anonimato
No anonimato, o problema é que ações do mesmo usuário se conectem.
Cookie e localStorage criam essa conexão. Por exemplo, mesmo acessando o mesmo site via VPN depois de tê-lo visto com IP de casa, se o mesmo Cookie for enviado, o mesmo navegador pode ser reconhecido.
Situação
O que acontece
Problema para anonimato
Mudar só o IP
O Cookie continua sendo enviado
O mesmo navegador fica visível
Navegar anonimamente depois de login real
Área de armazenamento permanece
A ação se liga ao ambiente de nome real
Usar várias contas no mesmo navegador
Estados salvos se misturam
A separação de contas se rompe
Usar Web app
Dados ficam no IndexedDB
Uso passado permanece
Cache permanece
Revisitados e itens vistos ficam como rastros
Vira rastro no dispositivo
VPN e Tor mudam a aparência do caminho de comunicação.
Áreas de armazenamento dentro do navegador são outro problema.
Quando apagar Cookie não basta
Apagar Cookies é útil.
Mas localStorage, IndexedDB, cache e service workers podem permanecer, mantendo o estado de Web apps.
O que permanece
Conteúdo
Cuidado
localStorage
Configurações do site e identificadores
Pode não desaparecer só com remoção de Cookies
IndexedDB
Dados de Web apps
Grande quantidade de informação pode permanecer
Cache
Arquivos já obtidos
Vira rastro de navegação ou uso
Service Worker
Processamento offline e notificações
Mantém comportamento do site
Estado de login
Sessão no lado do serviço
Não se resolve só no navegador
Em atividade anônima, é importante separar navegador de nome real e navegador anônimo.
Projetar para não misturar é mais estável do que apagar tudo a cada vez.
O que verificar
Ao lidar com armazenamento do navegador, pense primeiro no que não misturar, antes de pensar no que apagar.
Item de verificação
Motivo
Você separou navegador de nome real e navegador anônimo?
Evitar mistura de áreas de armazenamento
Você não entrou no mesmo site com nome real e anonimato?
Evitar correlação de contas
Você verificou áreas além de Cookie?
localStorage e IndexedDB permanecem
Você separou perfis do navegador?
Extensões e histórico também se separam
Você não alterou as configurações padrão do Tor Browser?
Evitar ficar distinto por configuração própria
Em atividades de alto risco, considere separar também usuário do sistema operacional, dispositivo e caminho de comunicação, não só o navegador.
Priorizar separação em vez de exclusão
Cookies e áreas de armazenamento podem ser apagados.
Mas uma operação que depende de apagar tudo perfeitamente a cada vez tende a falhar. Esquecimentos, novo login, armazenamento de outro site e configurações de sincronização geram mistura.
Método
Vantagem
Cuidado
Apagar a cada vez
Fácil de começar
Esquecimentos e itens fora do escopo acontecem
Outro navegador
Facilita separar nome real e anonimato
Separar também extensões e configurações
Outro perfil
Separa dentro do mesmo navegador
Exige operação para não abrir errado
Tor Browser
Projetado para reduzir armazenamento e identificação
Não alterar as configurações padrão
Outro dispositivo
Separação forte
Custo de gestão aumenta
Para baixo risco, separar perfis pode bastar.
Para alto risco, considere separar também dispositivo ou sistema operacional. O importante é decidir o grau necessário a partir do modelo de ameaça.
Falhas comuns
Falhas com armazenamento do navegador acontecem em operações familiares.
Falha
O que acontece
Publicar anonimamente no navegador usual
Mistura com Cookie e histórico de nome real
Só ligar a VPN
O Cookie continua sendo enviado
Confiar só no logout
localStorage e IndexedDB permanecem
Usar as mesmas extensões
O ambiente do navegador fica parecido
Não desligar sincronização em nuvem
Histórico e configurações se espalham para vários dispositivos
No anonimato, confirme ao mesmo tempo o caminho de comunicação e o estado interno do navegador.
Política básica em atividade anônima
Com Cookies e áreas de armazenamento, a base é "não misturar", mais do que "apagar".
Depois de escolher um navegador para atividade anônima, não entre nele em serviços de nome real. Não entre em contas anônimas no navegador de nome real. Separe também sincronização em nuvem e sincronização de senhas. Essa operação simples vira uma medida forte no longo prazo.
Política
Sentido
Separar usos
Não misturar nome real e anonimato
Verificar sincronização
Não espalhar histórico e configurações para outros dispositivos
Separar logins
Evitar correlação de contas
Verificar armazenamento regularmente
Não deixar dados desnecessários
Em alto risco, separar também dispositivo
Não depender só de separação do navegador
Resumo
Cookie, localStorage e IndexedDB são mecanismos que websites usam para salvar informações no navegador.
São úteis, mas no anonimato viram pistas que conectam ações do mesmo navegador.
Mesmo mudando o endereço IP, se o mesmo Cookie ou área de armazenamento permanece, você pode ser tratado como o mesmo navegador ou ambiente.
No anonimato, pense separadamente no caminho de comunicação e no armazenamento do navegador.
É importante não misturar ambiente de nome real e ambiente anônimo, usando navegador ou perfil dedicado conforme necessário.
Ferramentas relacionadas
WebRTC Leak Test
BrowserLeaks WebRTC
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.