Firefox nie usuwa „ciasteczek” HSTS po zamknięciu po sesji prywatnej


12

Na podstawie niektórych informacji w Internecie (np. Tutaj ) Firefox usuwa informacje HSTS po prywatnej sesji przeglądania.

Rozumiem, że oznaczałoby to, że plik „SiteSecurityServiceState.txt” znajdujący się w katalogu profilu Firefoksa (w katalogu \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles) jest wyczyszczony.

Korzystam z FF 42.0 i skonfigurowałem go (w obszarze Opcje> Prywatność) na „Zawsze używaj trybu prywatnego przeglądania”.

Teraz jednak z jakiegoś powodu ten plik nie jest usuwany . Wygląda na to, że Firefox zapełnia się konkretnymi wpisami.

Mówię to, ponieważ kilka godzin temu wyczyściłem plik ręcznie i od tego czasu przeprowadziłem kilka sesji testowych (przeglądanie Internetu przez pewien czas, z włączoną opcją „Zawsze używaj trybu przeglądania prywatnego”) i po każdym zamknąłem przeglądarkę sesja testowa. Teraz, gdy sprawdziłem plik „SiteSecurityServiceState.txt”, wygląda na to, że ma takie same wpisy jak poprzednio.

Oto fragment niektórych wpisów:

SiteSecurityServiceState.txt

  1. Czy to prawda, że ​​wpisy w „SiteSecurityServiceState.txt” powinny zostać usunięte po sesji prywatnej?
  2. Czy istnieje jakaś właściwość systemowa, którą należałoby włączyć, aby wyczyścić wpisy na końcu sesji?

3
Czy ten temat nie powinien być omawiany na bugzilla.mozilla.org ?
harrymc

Nie jestem pewien, czy to pomoże, ale są pewne preferencje, w które można grać w Firefoksie. Wpisz about: config w pasku przeglądarki i spójrz na te preferencje - Ochrona przed śledzeniem
tyelford

Odpowiedzi:


1

Pliki cookie HSTS są wyjątkowe. Mówią przeglądarce, że ta witryna powinna być zawsze połączona z https. Mają datę wygaśnięcia i wygasają w tym dniu, jeśli odwiedzasz tę witrynę przed upływem terminu, witryna może zaktualizować datę wygaśnięcia pliku cookie.

To, co powinno się stać, to nie jest wina.

Powodem jest to, że chroni cię to przed mężczyzną w środku ataku, który może przechwycić cały twój ruch. Mogą zmienić kod na stronach wysyłanych z witryny, aby zmienić wszystkie https: // na http: //, a przeglądarka po prostu to zaakceptuje. Tak więc po wprowadzeniu hasła ruch zostanie wysłany bez zmian.

Pęd do przejścia na korzystanie z https: // przez strony pozostawił tę dziurę, a HSTS było rozwiązaniem. Więc jeśli kiedykolwiek bezpiecznie łączysz się z tą witryną, ustawia ona plik cookie HSTS, a twoja przeglądarka nalega na użycie https: // dla każdego połączenia, nawet jeśli w html jest napisane http: //


Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.