HTTP Strict Transport Security (HST) is ontworpen voor het beveiligen van websites (die met HTTPS) door te verklaren voor webbrowsers die ze moeten communiceren via HTTPS met de server te beschermen verbindingen tegen downgraden aanvallen en cookie kaping.
Mozilla implementatie ondersteuning voor de HST ‘ s in zijn huidige vorm in Firefox in 2014 en het is actief in alle versies van Firefox sinds.
Ars Technica waren bij de eersten om hun bezorgdheid te uiten over de uitvoering van de HST ‘ s in web-browsers als het toegestaan site exploitanten te planten supercookies in browsers het gebruik van de technologie die is ontworpen voor het verbeteren van de beveiliging.
Een demo site is gemaakt door Sam Greenhalgh aan te tonen van het concept. Wanneer u bezoekt de site in een browser ondersteunt HST ‘ s, u krijgt een unieke ID die zich blijft voordoen in browser sessies en kan worden gebruikt om u te volgen.
Opmerking: Dit probleem is niet beperkt tot de Firefox web browser zoals Google Chrome en andere browsers die hebben de functie kwetsbaar zijn voor HST ‘ s volgen.
Hoe HST ‘ s wordt afgehandeld door Firefox momenteel
Firefox slaat HST informatie naar het bestand SiteSecurityServiceState.txt die vind je in de root van uw Firefox-profiel-map.
De makkelijkste manier om het te openen is om te laden van about:support in de Firefox adresbalk en klik op de “map weergeven” knop op de pagina nadat deze is geladen. Dit opent de profielmap van Firefox in het standaard systeem bestand browser.
Wanneer u het bestand opent in een tekst-editor, dan krijg je een lijst van domeinnamen en waarden die geassocieerd worden met hen, waaronder een vervaldatum.
Firefox handgrepen HST ‘ s in de private browsing-modus en de normale modus anders.
- Normale modus: HST blijft bestaan in verschillende sessies.
- Private browsing-modus: HST informatie worden verwijderd na afloop van de sessie.
Let op dat de sites toegang HST informatie gemaakt tijdens de normale browsersessies wanneer u private browsing-modus in die sessie.
Bescherming tegen HST ‘ s volgen
In tegenstelling tot cookies, HST biedt geen whitelist of blacklist aanpak. De functie is standaard ingeschakeld en er lijkt geen voorkeur te schakelen.
Zelfs als zou er een optie om dat te doen, het zou invloed hebben op de veiligheid tijdens het surfen op het Internet.
1. Gebruik alleen de Private Browsing-Modus
Sinds Firefox is het wissen van HST informatie na het sluiten van de private browsing-sessies, het is op dit moment de beste optie om te voorkomen dat supercookie volgen zonder in te boeten op beveiliging.
Om de lancering van Firefox in de private browsing-modus, gebruik de sneltoets Ctrl-Shift-P, of druk op de Alt-toets en selecteert u Bestand > Nieuw Venster.
2. Schakel de Site Voorkeuren bij afsluiten
De tweede optie die je hebt is om duidelijke Site Voorkeuren als u de Firefox-browser. Dit krijgt ontdoen van alle HST informatie opgeslagen op de SiteSecurityServiceState.txt bestand, maar een invloed op andere site-specifieke voorkeuren, zoals de site-specifieke machtigingen of zoomniveaus, omdat ze worden opgehelderd door de operatie.
Opmerking: Dit werkt in Google Chrome. Druk op Ctrl-Shift-Del te openen van het dialoogvenster ‘browsegegevens wissen’ in de browser. Zorg ervoor dat de optie “cookies en andere site-en plug-data” is geselecteerd en druk op ‘browsegegevens wissen’ achteraf.
Dit zal het verwijderen van cookies van de site en voorkeuren.
3. Items verwijderen uit de HST-bestand handmatig
De HST-bestand is een document met platte tekst is, wat betekent dat u kunt werken met gegevens in het gemakkelijk met behulp van tekst-editors.
Zorg ervoor dat Firefox sluiten voordat u dit alleen doen als inhoud wordt overschreven wanneer Firefox is beëindigd.
De methode geeft u de volledige controle over de HST ‘ s, maar het vereist een handmatige interventie regelmatig, en zijn mogelijk niet geschikt omdat van deze.
Een optie die je kan hebben is om te houden van bepaalde sites in en maak het bestand alleen-lezen achteraf te blokkeren nieuwe items aan.
U zult nog steeds nodig om het handmatig aanpassen regelmatig als HST informatie hebben een vervaldatum.
4. Verwijder HST-bestand gegevens automatisch
Programma ‘s als CCleaner ondersteuning voor het schoonmaken van HST Supercookies maar u kunt ook een lokale opdracht zoals echo ” >/SiteSecurityServiceState.txt op de bestand regelmatig te verwijderen. Als u het toevoegen aan een batch-bestand en voer het uit op het systeem op te starten of af te sluiten, dan moet je niet zorgen hoeft te maken over HST informatie voortduren van de verschillende sessies.
5. De HST-bestand alleen-lezen
Deze radicale aanpak blokkeert Firefox van het opslaan van informatie aan de HST-bestand. Terwijl dat is effectief in het voorkomen van tracking, het betekent dat de browser gebruik kan maken van de HST ‘ s om de veiligheid te verbeteren.
Om het kenmerk alleen-lezen op Windows met de rechtermuisknop op het bestand en selecteer eigenschappen in het contextmenu. Zoek het selectievakje alleen-lezen in op de eigenschappen pagina en controleer deze. Klik op ok daarna de wijziging wilt toepassen. (Met Dank Broek)