HTTP Strict Transport Security (HSTS) è stato progettato per proteggere i siti web (quelle che utilizzano HTTPS) dichiarando a un browser web, che dovrebbero comunicare solo tramite HTTPS con il server per proteggere le connessioni contro attacchi di downgrade e cookie di dirottamento.
Mozilla implementato il supporto per HSTS nella sua forma attuale in Firefox nel 2014 ed è stato attivo in tutte le versioni di Firefox da sempre.
Ars Technica sono stati tra i primi a sollevare preoccupazioni circa l’attuazione di HSTS nei browser web in quanto ha permesso agli operatori del sito di impianto supercookies nel browser usando la tecnologia che è stato progettato per migliorare la sicurezza dell’utente.
Un sito demo è stata creata da Sam Greenhalgh per illustrare il concetto. Quando si visita il sito in un browser che supporti i HSTS, è stato assegnato un ID univoco che persiste fra le sessioni del browser e può essere utilizzato per tenere traccia di voi a causa di esso.
Nota: Questo problema non è limitato a Firefox web browser come Google Chrome e altri browser che hanno implementato la funzionalità sono vulnerabili a HSTS di monitoraggio.
Come HSTS è gestito da Firefox attualmente
Firefox salva HSTS informazioni per il file SiteSecurityServiceState.txt che si trova nella root della vostra cartella del profilo di Firefox.
Il modo più semplice per aprire per caricare su:supporto nella barra degli indirizzi di Firefox e fare clic su “visualizza cartella” pulsante nella pagina dopo che ha caricato. Questo apre la cartella del profilo di Firefox, il sistema di default del browser di file.
Quando si apre il file in un editor di testo, verrà visualizzato un elenco di nomi di dominio e i valori associati con loro tra una data di scadenza.
Firefox gestisce HSTS in modalità di navigazione privata e regolare le modalità di navigazione in modo diverso.
- Regolare le modalità di navigazione: HSTS persiste tra le sessioni.
- Modalità di navigazione privata: HSTS informazioni vengono eliminati dopo la sessione.
Nota che i siti possono accedere HSTS informazioni create durante le regolari sessioni di navigazione quando si entra in modalità di navigazione privata in quella sessione.
Protezione contro HSTS tracking
A differenza dei cookie, HSTS offre no whitelist o blacklist approccio. La funzione è attivata per impostazione predefinita e non sembra esserci alcuna preferenza per disattivarlo.
Anche se ci sarebbe la possibilita ‘ di farlo, si rischierebbe di compromettere la sicurezza durante la navigazione in Internet.
1. Utilizzare solo la Modalità di Navigazione Privata
Dato che Firefox è l’eliminazione di HSTS informazioni dopo la chiusura privato le sessioni di navigazione, è attualmente la migliore opzione per impedire supercookie tracking senza compromettere la sicurezza.
Per avviare Firefox in modalità di navigazione privata, utilizzare la combinazione di tasti Ctrl-Shift-P, o premere il tasto Alt e selezionare File > Nuova Finestra Privata.
2. Chiaro il Sito di Preferenze in uscita
La seconda opzione che avete è quello di cancellare le Preferenze per questo Sito ogni volta che si chiude il browser Firefox. Questo si libera di tutti HSTS informazioni salvate il SiteSecurityServiceState.txt file, ma gli impatti altro sito specifico preferenze come sito-specifiche autorizzazioni o livelli di zoom come ottenere cancellati anche dal funzionamento.
Nota: Questo funziona in Google Chrome. Toccare i tasti Ctrl-Shift-Canc per aprire il cancella dati di navigazione la finestra di dialogo del browser. Assicurarsi che i cookie e altri siti e plugin dati” è selezionato e premere cancella dati di navigazione dopo.
Questo consente di rimuovere i cookie e le preferenze per questo sito.
3. Rimuovere le voci di HSTS file manualmente
Il HSTS file è un documento di testo, il che significa che è possibile manipolare i dati in esso facilmente utilizzando l’editor di testo.
Assicurarsi che Firefox è chiuso prima di voi così come il contenuto verrà sovrascritto quando Firefox è terminato.
Il metodo dà il controllo completo sopra il HSTS, ma richiede un intervento manuale regolarmente, e potrebbe non essere adatto a causa di questo.
Una opzione che si può avere è quello di mantenere alcuni siti e rendere il file di sola lettura dopo il blocco delle nuove voci.
Sarà ancora bisogno di modificare manualmente regolarmente come HSTS informazioni hanno una data di scadenza.
4. Rimuovere HSTS file di dati automaticamente
Programmi come CCleaner supporto per la pulizia di HSTS Supercookies ma è anche possibile eseguire un comando locale come echo ” >/SiteSecurityServiceState.txt nel file regolarmente per rimuovere. Se si aggiunge un file batch ed eseguire sul sistema avvia o si arresta, quindi non è necessario preoccuparsi di HSTS informazioni persistenti tra le sessioni.
5. Fare la HSTS file di sola lettura
Questo approccio radicale blocchi di Firefox per salvare le informazioni per la HSTS file. Mentre che è efficace nella prevenzione di monitoraggio, significa che il browser non è possibile fare uso di HSTS per migliorare la sicurezza.
Per rendere di sola lettura su Windows, fare clic destro sul file e selezionare proprietà dal menu contestuale. Individuare la casella di sola lettura nella pagina delle proprietà e il controllo. Fare clic su ok poi per applicare la modifica. (Grazie Pantaloni)