HTTP Strict Transport Security (HSTS) wurde entwickelt, um sichere websites (die mit HTTPS) indem er erklärte, web-Browser, die Sie sollten die Kommunikation nur via HTTPS mit dem server zu schützen Anschlüsse vor downgrade-Angriffen und cookie-hijacking.
Mozilla implementiert Unterstützung für das HSTS in seiner aktuellen form in Firefox im Jahr 2014 und es wurde aktiv in allen Firefox-Versionen seitdem.
Ars Technica waren unter den ersten, die Bedenken über die Einführung von HSTS in web-Browsern, wie es erlaubt Website-Betreibern zu Pflanzen supercookies bekannt in Browsern mit der Technologie, die entworfen wurde, um die Benutzerfreundlichkeit zu steigern die Sicherheit.
Eine demo-Website wurde erstellt von Sam Greenhalgh, um das Konzept veranschaulichen. Beim Besuch der Website in einem browser mit Unterstützung von HSTS, Sie ist eine eindeutige ID zugewiesen, die weiterhin über Browsersitzungen hinweg und kann verwendet werden, um Sie zu verfolgen, weil es.
Hinweis: Dieses Problem ist nicht beschränkt auf den Firefox web-browser wie Google Chrome und anderen Browsern, die implementiert die Funktion sind anfällig für HSTS-tracking sowie.
Wie HSTS erfolgt durch Firefox aktuell
Firefox speichert HSTS Informationen zu der Datei SiteSecurityServiceState.txt die findest du im Stammverzeichnis von deinem Firefox-Profil-Ordner.
Der einfachste Weg, um es zu öffnen, zu laden über: – Unterstützung in Firefox-Adressleiste und klicken Sie auf “Ordner anzeigen” – button auf der Seite, nachdem es geladen wurde. Hierdurch öffnet sich der Profil-Ordner von Firefox in den Standard-system-Datei-browser.
Beim öffnen der Datei in einem text-editor bekommen Sie eine Liste von domain-Namen und Werte mit Ihnen verbunden sind, darunter ein Ablaufdatum.
Firefox Griffe HSTS in private-browsing-Modus und regelmäßigen browsing-Modus unterschiedlich.
- Regelmäßigen browsing-Modus: HSTS bleibt auch für folgesitzungen erhalten.
- Private-browsing-Modus: HSTS-Informationen werden gelöscht, nachdem die Sitzung.
Beachten Sie, dass die Seiten zugreifen können HSTS Informationen erstellt, während der regulären browsing-sessions, wenn Sie geben Sie die private-browsing-Modus in dieser Sitzung.
Schutz gegen HSTS-tracking
Im Gegensatz zu cookies, HSTS bietet keine whitelist-oder blacklist-Ansatz. Die Funktion ist standardmäßig aktiviert, und es scheint keine Einstellung um es zu deaktivieren.
Selbst wenn wäre es eine option, dies zu tun, wäre es auf Sicherheit während des Surfens im Internet.
1. Verwenden Sie nur Private-Browsing-Modus
Da der Firefox clearing-HSTS-Informationen, nachdem Sie in der Nähe private-browsing-sessions, es ist derzeit die beste option, um zu verhindern, dass supercookie-tracking-ohne Abstriche bei der Sicherheit.
Zum starten von Firefox im private-browsing-Modus, verwenden Sie die Tastenkombination Strg-Shift-P, oder drücken Sie die Alt-Taste, und wählen Sie Datei > Neues Privates Fenster.
2. Deaktivieren Sie die Site-Einstellungen auf beenden
Die zweite option, die Sie haben, ist das löschen von Website-Einstellungen, wenn Sie schließen Sie den Firefox-browser. Dieser entledigt sich aller HSTS-Informationen gespeichert SiteSecurityServiceState.txt Datei aber Auswirkungen auf andere site-spezifische Einstellungen, wie ” Website-spezifische Berechtigungen oder zoom-Stufen, wie Sie deaktiviert, wie auch durch den Betrieb.
Hinweis: Das funktioniert in Google Chrome sowie. Tippen Sie auf Strg-Shift-Entf öffnen Sie den dialog “Internetdaten löschen” im browser. Stellen Sie sicher, dass “cookies und andere Website-und plugin-Daten” ausgewählt ist und drücken browsing-Daten löschen danach.
Dies entfernt cookies und Website-Einstellungen als gut.
3. Entfernen Sie Einträge aus der HSTS-Datei manuell
Die HSTS-Datei ist eine nur-text-Dokument, das heißt, Sie können Bearbeiten von Daten in Sie leicht mit text-Editoren.
Stellen Sie sicher, dass Firefox geschlossen ist, bevor Sie tun so, als Inhalt überschrieben wird, wenn Firefox beendet wird.
Die Methode gibt Ihnen die volle Kontrolle über HSTS, aber es erfordert ein manuelles eingreifen regelmäßig, und dürfen nicht geeignet sein, weil dieser.
Eine option, die Sie haben können, ist zu halten Sie auf Websites, und stellen Sie die Datei nur-Lesen-danach zu block neue Einträge.
Sie müssen noch manuell Bearbeiten regelmäßig als HSTS-Informationen haben ein Verfallsdatum.
4. Entfernen HSTS-Datei Daten automatisch
Programme wie CCleaner Unterstützung der Reinigung von HSTS supercookies bekannt, aber Sie können auch einen lokalen Befehl wie “echo ” >/SiteSecurityServiceState.txt auf die Datei regelmäßig, um es zu entfernen. Wenn Sie fügen Sie es in eine batch-Datei und führen Sie es auf dem system gestartet oder heruntergefahren wird, dann sollten Sie nicht haben, um sorgen über die HSTS-Informationen über anhaltende Sitzungen.
5. Machen die HSTS-Datei nur-Lesen –
Dieser Radikale Ansatz, blockiert Firefox das speichern von Informationen zu den HSTS-Datei. Das ist zwar wirksam bei der Verhinderung der Verfolgung, es bedeutet, dass der browser nicht nutzen kann HSTS um die Sicherheit zu verbessern.
Um es zu Lesen-nur auf Windows mit der rechten Maustaste auf die Datei und wählen Sie Eigenschaften aus dem Kontextmenü. Suchen Sie die nur-lese-box auf der Seite “Eigenschaften” und überprüfen Sie es. Klicken Sie auf ok, anschließend, um die änderung anzuwenden. (Dank Hose)