Comment contrôler l'utilisation de localStorage par les sites Web dans Firefox?

12

Alors que de plus en plus de sites abandonnent l'utilisation de cookies pour utiliser le stockage local (y compris le "suivi des bugs") au lieu de stocker leurs données, je suis préoccupé par la mesure dans laquelle l'utilisateur peut contrôler cela. Avec les cookies, vous pouvez configurer les stratégies appropriées, par exemple bloquer les cookies de tiers, ou être toujours demandé. Je n'ai pas pu trouver de paramètre correspondant pour LocalStorage.

En recherchant SU, j'ai trouvé une question similaire pour Chrome: désactiver HTML5 LocalStorage et les bases de données pour toutes les pages Web / ou demander à l'utilisateur . J'ai aussi lu Comment autoriser le stockage local pour un utilisateur spécifique, mais le désactiver globalement? (qui ne répond pas à ma question) et Questions sur le stockage local et le cache dans Firefox (qui indique également la documentation manquante, mais ne répond pas à ma question). Je n'ai presque rien trouvé sur une recherche Google.

Problème que j’ai eu au début avec SE en général (voir MSO ) et résolu grâce à Le blog d'Eric supposons que les paramètres de cookie soient au moins connectés à localStorage; mais comme cela n’est pas documenté, je ne veux pas miser sur l’essai aléatoire avec une version FF pour en tirer des conclusions générales.

Y a-t-il de la documentation à ce sujet? Je considérerais cela comme une grande atteinte à la vie privée si l'utilisateur ne peut pas contrôler le site qui stocke les données dans localStorage, ce qui doit donc être possible.

TL; DR: Fait-il correspondre à la politique de cookie - ou sinon, comment un utilisateur peut-il le contrôler?

Izzy
la source

Réponses:

10

La relation de Firefox entre les cookies et le stockage local (de https://bugzilla.mozilla.org/show_bug.cgi?id=341524 ):

  • la désactivation des cookies désactive le stockage, sauf si le site est sur la liste blanche.
  • l'activation de tous les cookies active le stockage, sauf si le site est sur la liste des personnes bloquées.
  • si un site est défini sur session uniquement dans la liste de blocage, seul le stockage de session peut être utilisé. Les stockages globaux sont traités comme des stockages de session.
  • De même, si les préférences de cookie sont définies sur session uniquement, toute utilisation du stockage est uniquement session.
  • si les préférences de cookie sont définies sur invite, cela est traité de la même manière que les cookies de rejet. Pas sûr que nous voulions que l'invitation se produise ici. Les cookies sont-ils affichés chaque fois qu'un cookie est défini ou juste une fois par session?
  • la préférence masquée dom.storage.disabled peut être utilisée pour désactiver le stockage DOM.

Ainsi, vous devriez pouvoir utiliser des gestionnaires de cookies tels que Cookie Monster contrôler le stockage local.

Pour afficher / supprimer le stockage local persistant dans Firefox, vous pouvez utiliser Foundstone HTML5 Explorateur de stockage local ou NoTrace . D'autres extensions Firefox associées sont répertoriées. ici .

De Comment effacer et désactiver le stockage DOM dans Firefox, IE et Chrome :

Effacer le stockage DOM dans Firefox:

Sélectionnez "Outils" - & gt; «Effacer l'historique récent», ouvrez «Détails», cochez «Cookies» et sélectionnez «Tout» comme plage de temps.
ATTENTION: aucune autre plage de temps n'effacera le stockage DOM.

[...]

Désactiver le stockage DOM dans Firefox:

Tapez "about: config" dans votre barre d'adresse et appuyez sur Entrée pour afficher les paramètres de votre navigateur interne. Faites défiler jusqu'à "dom.storage.enabled", faites un clic droit dessus et appuyez sur "Basculer" pour désactiver le stockage DOM.

De Contourner l'intention de bloquer les cookies "tiers" :

En principe, le stockage local HTML5 est très similaire aux cookies. Sur une base par origine, il existe un ensemble de paires nom / valeur persistantes sur le disque.

Avec un simple test, il est facile de montrer que la fonctionnalité de stockage local HTML5 n'est pas affectée par le paramètre de cookie tiers.

Mozilla est au courant de ce problème: Bug 536509 - LocalStorage n'obéit pas aux "cookies tiers" pref . Heureusement, si vous décochez la case Firefox "Accepter les cookies des sites", le stockage local est activé uniquement sur les domaines autorisés dans la liste des exceptions des cookies de Firefox. Du fait que JavaScript est nécessaire pour définir le stockage local, des extensions de blocage de JavaScript telles que NoScript peuvent également atténuer ce problème.

Sites de test LocalStorage:

Problème Firefox: Bogue 748620 - Lorsque l'expiration du cookie est définie pour demander à chaque fois, localStorage lève une exception de sécurité .

Toutes les informations dans cette réponse ont été adaptées de Stockage DOM: stockage des données du navigateur pouvant contourner l'intention de bloquer les cookies tiers , un fil que j'ai commencé.

MrBrian
la source
Merci beaucoup pour votre réponse complète! Aucun détail n'est laissé ouvert :) Et oui, j'utilise déjà l'addon Foundstone depuis un moment pour enquêter. A également vérifié les bases de données correspondantes avec SQLiteman. Ce qui me manquait, vous avez rempli: Comme la politique de cookie décrite correspond à la mienne (décochez cette case, demandez en premier aux sites non inscrits sur la liste blanche), je me sens renversé :)
Izzy
De rien! Veuillez consulter le bogue 748620 dans ma réponse également.
MrBrian
C'est ce qui est défini ici. Vous n'avez pas encore d'exception. Peut-être que les sites qui utilisent LocalStorage ici (par exemple SE) sont limités à ceux qui ont une "autorisation de cookie complet", de sorte que ce bug ne m'a pas (encore) provoqué. Et oui, un bug de 2012 n'est toujours pas résolu. Je me rappelle brutalement que je venais de rejoindre SE (comme indiqué dans ma question) et que je n'arrivais pas à me connecter ...
Izzy
2

Je suis le développeur du module Cookie Controller, qui vous montrera les autorisations qui s'appliquent au stockage local (et au stockage de session), ainsi que vous permettant de définir ces autorisations.

Toutefois, pour répondre à votre question initiale, les autorisations pour le stockage DOM sont essentiellement les mêmes que pour les cookies. Certaines autorisations, telles que les tierces parties, ne s'appliquent pas, mais les paramètres permettant de refuser les cookies ou de les limiter à la session en cours sont également appliqués au stockage DOM. Malheureusement, Firefox ne vous indiquera pas si une page Web utilise le stockage DOM ou non, ce qui peut être difficile à vérifier. Par conséquent, l'addon est utile.

Il existe également une préférence cachée qui désactivera complètement tout le stockage DOM indépendamment des cookies: dom.storage.enabled. Ceci est un peu brutal et habituellement, vous bloquez simplement les cookies pour bloquer le stockage. De même, les exceptions définies pour permettre aux sites Web individuels de définir des cookies leur permettent également d'utiliser le stockage DOM.

Enfin, la quantité d'espace de stockage pouvant être utilisée par chaque page Web est limitée. Par défaut, il s'agit de 5 Mo mais vous pouvez le modifier, éventuellement à zéro. Cependant, les pages Web ne gèrent pas toujours très bien le dépassement de quota, vous pouvez donc poser des problèmes en le modifiant.

Ian Nartowicz
la source
Merci pour les détails expliqués! j'utilise Contrôleur de cookie depuis un moment, et j'en suis assez satisfait :) Flash-Cookies que je manipule encore Meilleure vie privée ; c'est la seule chose qui manque pour une solution tout-en-un. Mais les deux n'ont pas de problèmes l'un avec l'autre, donc ça marche très bien pour moi.
Izzy
1

Il ne semble pas y avoir beaucoup de documentation sur la fonctionnalité, mais ici est l'article du réseau de développeurs Mozilla. Dans l'article, il mentions qu'il reste encore plusieurs bogues à résoudre concernant la gestion du stockage local (tous les bogues sont ouverts au moment de la rédaction de cette réponse). Donc, du moins pour le moment, il ne semble pas y avoir de moyen de gérer l’accès au stockage local.

heavyd
la source
Merci. Il semble donc que les cookies Flash partagent les mêmes problèmes de confidentialité: sans arrière-plan technique, l'utilisateur n'a absolument aucun contrôle sur celui-ci et, avec l'arrière-plan technique, un contrôle limité en "post-traitement". J'avais peur de cela, vous et l'article lié le confirmez. Nous avons donc peut-être besoin de soulever la question dans certains tickets Bugzilla pour Firefox.
Izzy
0

Je viens de trouver une solution (pas encore essayée, mais selon les commentaires, cela devrait être fait): Il existe un addon pour Firefox appelé Contrôleur de cookie , qui semble gérer les cookies "à l'ancienne" et le stockage DOM (malheureusement, les cookies Flash, alias LSO, ne semblent pas être traités; ce qui en ferait le contrôleur complet):

Cookie Controller: Per-site Cookie Controller: Global
Contrôleur de cookies: paramètres par site et globaux

En utilisant cet addon, on devrait pouvoir utiliser les paramètres globaux et par site pour localStorage. Étant donné que localStorage est requis pour les sites SE, les paramètres par site doivent être privilégiés ici :) Il propose même de supprimer les "cookies" sélectionnés en fin de session (tous sauf la liste blanche, par exemple).

Izzy
la source