HTTP Strict Transport Security (HSTS) został zaprojektowany, aby pomóc zabezpieczyć strony internetowe (te korzystające z HTTPS), oświadczając przeglądarkom internetowym, że powinny komunikować się tylko z serwerem za pośrednictwem HTTPS, aby chronić połączenia przed atakami obniżenia poziomu i przechwyceniem plików cookie.
Mozilla zaimplementowała obsługę HSTS w obecnej formie w Firefoksie w 2014 roku i od tego czasu jest aktywna we wszystkich wersjach Firefoksa.
Ars Technica jako jedna z pierwszych zgłosiła obawy dotyczące wdrożenia HSTS w przeglądarkach internetowych, ponieważ pozwoliła operatorom witryn na umieszczanie supercookie w przeglądarkach przy użyciu technologii zaprojektowanej w celu poprawy bezpieczeństwa użytkowników.
Strona demonstracyjna została stworzona przez Sama Greenhalgha, aby zademonstrować tę koncepcję. Gdy odwiedzasz witrynę w przeglądarce obsługującej HSTS, przydzielany jest unikalny identyfikator, który utrzymuje się w sesjach przeglądarki i dzięki temu możesz go śledzić.
Uwaga: ten problem nie ogranicza się do przeglądarki Firefox, ponieważ Google Chrome i inne przeglądarki, które zaimplementowały tę funkcję, są również podatne na śledzenie HSTS.
Jak HSTS jest obecnie obsługiwany przez Firefox
Firefox zapisuje informacje HSTS w pliku SiteSecurityServiceState.txt, który znajduje się w katalogu głównym folderu profilu Firefox.
Najłatwiejszym sposobem otwarcia jest załadowanie: obsługi w pasku adresu Firefoksa i kliknięcie przycisku „pokaż folder” na stronie po załadowaniu. Spowoduje to otwarcie folderu profilu Firefox w domyślnej systemowej przeglądarce plików.
Po otwarciu pliku w zwykłym edytorze tekstowym otrzymasz listę nazw domen i powiązanych z nimi wartości, w tym datę wygaśnięcia.
Firefox inaczej obsługuje HSTS w trybie przeglądania prywatnego i normalnym.
- Tryb zwykłego przeglądania: HSTS utrzymuje się między sesjami.
- Tryb przeglądania prywatnego: informacje HSTS są usuwane po sesji.
Pamiętaj, że witryny mogą uzyskiwać dostęp do informacji HSTS utworzonych podczas zwykłych sesji przeglądania, gdy przejdziesz do trybu przeglądania prywatnego w tej sesji.
Ochrona przed śledzeniem HSTS
W przeciwieństwie do plików cookie HSTS nie oferuje białej listy ani czarnej listy. Ta funkcja jest domyślnie włączona i najwyraźniej nie ma preferencji, aby ją wyłączyć.
Nawet gdyby istniała taka możliwość, wpłynęłoby to na bezpieczeństwo podczas przeglądania Internetu.
1. Używaj tylko trybu przeglądania prywatnego
Ponieważ Firefox usuwa informacje HSTS po zamknięciu prywatnych sesji przeglądania, obecnie jest to najlepsza opcja, aby zapobiec śledzeniu supercookie bez narażania bezpieczeństwa.
Aby uruchomić Firefox w trybie przeglądania prywatnego, użyj skrótu Ctrl-Shift-P lub naciśnij klawisz Alt i wybierz Plik> Nowe okno prywatne.
2. Wyczyść Preferencje witryny przy wyjściu
Drugą dostępną opcją jest wyczyszczenie Preferencji witryny po każdym zamknięciu przeglądarki Firefox. Pozbywa się to wszystkich informacji HSTS zapisanych w pliku SiteSecurityServiceState.txt, ale wpływa na inne preferencje specyficzne dla witryny, takie jak uprawnienia specyficzne dla witryny lub poziomy powiększenia, gdy są one również usuwane przez operację.
Uwaga: działa to również w Google Chrome. Stuknij w Ctrl-Shift-Del, aby otworzyć jasne okno danych przeglądania w przeglądarce. Upewnij się, że wybrano opcję „pliki cookie i inne dane witryn i wtyczek”, a następnie wyczyść dane przeglądania.
Spowoduje to również usunięcie plików cookie i preferencji witryny.
3. Ręcznie usuń wpisy z pliku HSTS
Plik HSTS jest zwykłym dokumentem tekstowym, co oznacza, że można w nim łatwo manipulować danymi za pomocą edytorów tekstu.
Upewnij się, że Firefox jest zamknięty, zanim to zrobisz, ponieważ zawartość zostanie zastąpiona, gdy Firefox zostanie zamknięty.
Ta metoda zapewnia pełną kontrolę nad HSTS, ale wymaga regularnej ręcznej interwencji i może nie być odpowiednia z tego powodu.
Jedną z opcji, którą możesz mieć, jest utrzymywanie wybranych witryn i ustawianie pliku jako tylko do odczytu, aby blokować nowe wpisy do niego.
Nadal będziesz musiał go regularnie edytować ręcznie, ponieważ informacje HSTS mają datę ważności.
4. Automatycznie usuwaj dane pliku HSTS
Programy takie jak CCleaner obsługują czyszczenie HSTS Supercookies, ale można także uruchomić lokalne polecenie, takie jak echo ''> /SiteSecurityServiceState.txt na pliku, aby go regularnie usunąć. Jeśli dodasz go do pliku wsadowego i uruchomisz przy uruchamianiu lub zamykaniu systemu, nie powinieneś się martwić, że informacje HSTS będą się utrzymywać między sesjami.
5. Ustaw plik HSTS w trybie tylko do odczytu
To radykalne podejście blokuje Firefoxowi zapisywanie informacji w pliku HSTS. Chociaż skutecznie zapobiega to śledzeniu, oznacza to, że przeglądarka nie może korzystać z HSTS w celu poprawy bezpieczeństwa.
Aby system Windows był tylko do odczytu, kliknij plik prawym przyciskiem myszy i wybierz właściwości z menu kontekstowego. Znajdź pole tylko do odczytu na stronie właściwości i zaznacz je. Następnie kliknij OK, aby zastosować zmianę. (Dzięki Spodnie)
Podsumowanie
Nazwa artykułu
Jak zapobiec śledzeniu HSTS w Firefoksie
Opis
Dowiedz się, jak zablokować witryny internetowe do umieszczania superkomputerów HSTS w Firefoksie, które mogą śledzić Cię między sesjami.
