HTTP Strenge Transport Security (HSTS) ble utviklet for å hjelpe sikre webområder (disse ved hjelp av HTTPS) ved å erklære til nettlesere som de skal kommunisere bare via HTTPS med serveren for å beskytte tilkoblinger mot nedgradere angrep og cookie-kapring.
Mozilla implementert støtte for HSTS i sin nåværende form i Firefox i 2014, og det har vært aktiv i alle Firefox-versjoner siden den gang.
Ars Technica var blant de første til å ta opp bekymringer om gjennomføringen av HSTS i nettlesere som det tillatt nettstedet operatører å plante supercookies i nettlesere ved hjelp av teknologien som ble utviklet for å øke brukerens sikkerhet.
En demo nettstedet ble opprettet av Sam Greenhalgh for å demonstrere konseptet. Når du besøker nettstedet i en nettleser som støtter HSTS, du er tildelt en unik ID som vedvarer over økter i nettleseren, og kan brukes til å spore deg på grunn av det.
Merk: Dette problemet er ikke begrenset til Firefox nettleser Google Chrome og andre nettlesere som har implementert funksjon er sårbare for HSTS sporing som godt.
Hvordan HSTS er håndtert av Firefox for øyeblikket
Firefox lagrer HSTS informasjon til filen SiteSecurityServiceState.txt som du finner i roten av Firefox-profil mappen.
Den enkleste måten å åpne det på, er å legge om: – støtte i Firefox adressefeltet og klikk på “vis mappe” – knappen på siden etter at den er lastet inn. Dette åpner profilen mappen for Firefox i standard system fil-leseren.
Når du åpner filen i en vanlig tekst-editor, vil du få en liste over domenenavn og verdiene som er forbundet med dem, inkludert en utløpsdato.
Firefox håndterer HSTS i privat surfemodus og vanlig nettlesermodus annerledes.
- Vanlig nettlesermodus: HSTS vedvarer over økter.
- Privat surfemodus: HSTS informasjon er slettet etter økten.
Vær oppmerksom på at nettsteder kan få tilgang til HSTS informasjon som er opprettet under vanlig surfing når du angi privat surfemodus i økten.
Beskyttelse mot sporing HSTS
I motsetning til cookies, HSTS tilbyr ingen hviteliste eller svarteliste tilnærming. Den funksjonen er aktivert som standard, og det synes å være ingen preferanse for å deaktivere den.
Selv om det skulle være et alternativ til å gjøre det, ville det påvirke sikkerhet mens du surfer på Internett.
1. Bare bruk Privat surfemodus
Siden Firefox er clearing HSTS informasjon når du lukker privat surfing, det er i dag det beste alternativet for å hindre at supercookie sporing, uten å kompromittere sikkerheten.
Å lansere Firefox i privat surfemodus, kan du bruke hurtigtasten Ctrl-Shift-S, eller trykk på Alt-tasten og velger Fil > Nytt Privat Vindu.
2. Klart Nettstedet Preferanser på exit
Det andre alternativet du har er å fjerne Nettstedet Preferanser hver gang du lukker nettleseren Firefox. Dette blir kvitt alle HSTS informasjon som er lagret til SiteSecurityServiceState.txt fil men påvirker andre siden bestemte preferanser som site-spesifikke tillatelser eller zoom nivåer som de blir fjernet så godt av drift.
Merk: Dette fungerer i Google Chrome, så vel. Trykk på Ctrl + Shift + Del for å åpne dialogruten tøm logg i nettleser. Kontroller at cookies og andre nettsteder, og plugin-data” er valgt, og trykk clear browsing data etterpå.
Dette vil fjerne informasjonskapsler og nettstedet preferanser så vel.
3. Fjerne oppføringer fra HSTS filen manuelt
Den HSTS-filen er en ren tekst-dokumentet, noe som betyr at du kan manipulere data i det enkelt ved å bruke tekst redaktører.
Sørg for at Firefox er lukket før du gjør slik som innhold vil bli overskrevet når Firefox er avsluttet.
Metoden gir deg full kontroll over HSTS, men det krever manuell inngripen regelmessig, og kan ikke være egnet på grunn av dette.
Ett alternativ som du kan ha er å holde velg steder i og gjøre filen skrivebeskyttet etterpå for å blokkere nye bidrag til den.
Du vil fortsatt trenger å endre det manuelt regelmessig som HSTS informasjon har en utløpsdato.
4. Fjern HSTS filen data automatisk
Programmer som CCleaner støtte rengjøring av HSTS Supercookies men du kan også kjøre en lokal kommando som echo ” >/SiteSecurityServiceState.txt på den fil-regelmessig for å fjerne det. Hvis du legger den til i en satsvis fil og kjøre den på systemet startes eller avsluttes, så du bør ikke å bekymre deg for HSTS informasjon vedvarende over økter.
5. Gjøre HSTS filen som skrivebeskyttet
Denne radikale tilnærming blokker Firefox lagrer informasjon til HSTS fil. Mens det er effektive i å forebygge sporing, det betyr at leseren ikke kan gjøre bruk av HSTS å forbedre sikkerheten.
For å gjøre det lese-bare på Windows, høyreklikk på filen og velg egenskaper fra hurtigmenyen. Finn read-only safe på egenskaper-siden og sjekk det. Klikk ok etterpå for å bruke endringen. (Takk Bukser)