HTTP Strict Transport Security (TGV) var designet til at hjælpe med at sikre websteder (dem, der bruger HTTPS) ved at erklære, at web-browsere, at de bør kun kommunikere via HTTPS-server for at beskytte forbindelser mod nedjustering angreb og cookie kapring.
Mozilla implementeret støtte til HSTS i sin nuværende form i Firefox i 2014, og det har været aktive i alle Firefox-versioner lige siden.
Ars Technica var blandt de første, der rejser spørgsmål om gennemførelsen af HSTS i web browsere som det er tilladt webstedet operatører til at plante supercookies i browsere, ved hjælp af den teknologi, der var designet til at forbedre brugernes sikkerhed.
En demo-site blev oprettet af Sam Greenhalgh at demonstrere konceptet. Når du besøger websitet i en browser, der understøtter TGV, du er tildelt en unik ID, som fortsætter på tværs af browser sessioner og kan bruges til at spore dig på grund af det.
Bemærk: Dette problem er ikke begrænset til Firefox web browser som Google Chrome og andre browsere, der har gennemført den funktion, der er sårbare over for HSTS tracking så godt.
Hvordan HSTS varetages af Firefox i øjeblikket
Firefox gemmer HSTS oplysninger til filen SiteSecurityServiceState.txt der finder du i roden af din Firefox profil mappen.
Den nemmeste måde at åbne det, er at indlæse om:støtte i Firefox ‘ s adresselinjen, og klik på “vis mappe” – knappen på siden, når det er indlæst. Dette åbner profil mappe Firefox i standard-system-fil browser.
Når du åbner filen i en tekst-editor, vil du få en liste over domænenavne og værdier, der er forbundet med dem, herunder en udløbsdato.
Firefox håndterer HSTS i privat browsing-tilstand og almindelig browsing-tilstand forskelligt.
- Almindelig browsing-tilstand: HSTS fortsætter på tværs af sessioner.
- Privat browsing-tilstand: HSTS oplysninger slettes efter sessionen.
Bemærk, at sites kan få adgang til HSTS oplysninger, der er skabt under almindelig browsing-sessioner, når du indtaster privat browsing-tilstand i denne session.
Beskyttelse mod HSTS tracking
I modsætning til cookies, HSTS tilbyder ikke whitelisten eller blacklisten tilgang. Funktionen er aktiveret som standard, og der synes ikke at være nogen præference for at deaktivere den.
Selv om der ville være en mulighed at gøre det, ville det påvirker sikkerhed, mens du browser på Internettet.
1. Kun bruge Privat Browsing-Tilstand
Siden Firefox er clearing HSTS oplysninger, når du lukker privat browsing sessioner, det er i øjeblikket den bedste mulighed for at forhindre, supercookie tracking, uden at gå på kompromis med sikkerheden.
Til at starte Firefox i privat browsing-tilstand, skal du bruge genvejen Ctrl-Shift-P, eller tryk på Alt-tasten, og vælg Filer > Nyt Vindue.
2. Ryd området Indstillinger på exit
Den anden mulighed du har er at klare Præferencer for Websitet, når du lukker browseren Firefox. Dette får slippe af med alle HSTS oplysninger er gemt til SiteSecurityServiceState.txt fil men virkninger andre særlige præferencer som site-specifikke tilladelser eller zoom niveauer, som de får ryddet så godt som med operationen.
Bemærk: Dette virker i Google Chrome. Tryk på Ctrl-Skift-Delete for at åbne dialogboksen ryd browserdata i browseren. Sørg for, at “cookies og andre website og plugin-data” er valgt, og tryk clear browsing data bagefter.
Dette vil fjerne cookies og præferencer for websitet så godt.
3. Fjerne poster fra TGV-fil manuelt
HSTS filen er en almindelig tekst-dokument, som betyder, at du kan manipulere med data i den let, ved hjælp af tekst-editorer.
Sørg for, at Firefox er lukket, før du gør, så indhold vil blive overskrevet, når Firefox er afsluttet.
Den metode, der giver dig fuld kontrol over HSTS men det kræver manuel indgriben regelmæssigt, og kan ikke være egnet på grund af dette.
En mulighed, at du kan have, er at holde vælg steder i og gøre filen skrivebeskyttet bagefter til at blokere for nye indgange til det.
Du vil stadig nødt til at redigere det manuelt regelmæssigt som HSTS oplysninger, har en udløbsdato.
4. Fjern TGV-fil data automatisk
Programmer som CCleaner støtte rengøring af HSTS Supercookies men du kan også køre en lokal kommando såsom echo ” >/SiteSecurityServiceState.txt på den fil regelmæssigt for at fjerne det. Hvis du føjer det til en batch-fil og køre den på systemet starter eller lukker ned, så du ikke skal bekymre dig om HSTS oplysninger vedvarende på tværs af sessioner.
5. Gøre HSTS filen skrivebeskyttet
Denne radikale tilgang blokke Firefox fra at gemme oplysninger til TGV-fil. Mens der er effektiv i forebyggelse af tracking, det betyder, at browseren ikke kan gøre brug af HSTS for at forbedre sikkerheden.
For at gøre det læs-kun på Windows, højre-klik på filen og vælg egenskaber fra genvejsmenuen. Find read-only felt på egenskaber for side, og tjek det. Klik på ok for bagefter at anvende ændringen. (Tak Bukser)