Hvordan forhindre HSTS-sporing i Firefox

• Kategori: Firefox

Prøv Instrumentet Vårt For Å Eliminere Problemer

Velg Operativsystemet Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Velg Et Projeksjonsprogram (Valgfritt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beskriv Problemet Ditt

Få Svar

Send Meg Via E -Post Vis På Nettstedet

HTTP Strict Transport Security (HSTS) ble designet for å hjelpe sikre nettsteder (de som bruker HTTPS) ved å erklære overfor nettlesere at de bare skal kommunisere via HTTPS med serveren for å beskytte tilkoblinger mot nedgraderingsangrep og cookie kapring.

Mozilla implementerte støtte for HSTS i sin nåværende form i Firefox i 2014 og den har vært aktiv i alle Firefox-versjoner siden den gang.

Ars Technica var blant de første som vakte bekymring for implementeringen av HSTS i nettlesere, da det tillot nettstedsoperatører å plante superkaker i nettlesere ved å bruke teknologien som var designet for å forbedre brukernes sikkerhet.

TIL demoside ble opprettet av Sam Greenhalgh for å demonstrere konseptet. Når du besøker nettstedet i en nettleser som støtter HSTS, får du tildelt en unik ID som vedvarer på tvers av nettleserøkter og kan brukes til å spore deg på grunn av den.

Merk: Dette problemet er ikke begrenset til Firefox nettleser, da Google Chrome og andre nettlesere som har implementert funksjonen også er sårbare for HSTS-sporing.

Hvordan HSTS håndteres av Firefox for tiden

Firefox lagrer HSTS-informasjon til filen SiteSecurityServiceState.txt som du finner i roten til Firefox-profilmappen.

Den enkleste måten å åpne den på er å laste om: støtte i Firefox sin adressefelt og klikke på 'Vis mappe' -knappen på siden etter at den er lastet inn. Dette åpner profilmappen til Firefox i standard systemfil-nettleser.

Når du åpner filen i en ren tekstredigerer, vil du få en liste over domenenavn og verdier tilknyttet dem, inkludert en utløpsdato.

Firefox håndterer HSTS i privat nettlesingsmodus og vanlig surfemodus på en annen måte.

1. Vanlig surfemodus: HSTS vedvarer på tvers av økter.
2. Privat surfemodus: HSTS-informasjon blir slettet etter økten.

Merk at nettsteder kan få tilgang til HSTS-informasjon som er opprettet under vanlige nettlesingsøkter når du går inn i privat nettlesingsmodus i den økten.

Beskyttelse mot HSTS-sporing

I motsetning til informasjonskapsler, tilbyr HSTS ingen hviteliste eller svartelistetilnærming. Funksjonen er aktivert som standard, og det ser ut til at det ikke er noen preferanse for å deaktivere den.

Selv om det er et alternativ å gjøre det, vil det påvirke sikkerheten mens du surfer på Internett.

1. Bruk bare privat nettlesingsmodus

Siden Firefox tømmer HSTS-informasjon etter at du har avsluttet private nettlesingsøkter, er det for tiden det beste alternativet for å forhindre supercookie-sporing uten at det går ut over sikkerheten.

For å starte Firefox i privat nettlesermodus, bruk snarveien Ctrl-Shift-P, eller trykk Alt-tasten og velg File> New Private Window.

2. Fjern nettstedinnstillingene ved avslutning

Det andre alternativet du har, er å tømme nettstedinnstillinger når du lukker Firefox-nettleseren. Dette blir kvitt all HSTS-informasjon som er lagret i SiteSecurityServiceState.txt-filen, men påvirker andre nettstedsspesifikke preferanser, for eksempel stedsspesifikke tillatelser eller zoomnivåer når de også blir fjernet av operasjonen.

Merk: Dette fungerer også i Google Chrome. Trykk på Ctrl-Shift-Del for å åpne dialogboksen for klart data i nettleseren. Forsikre deg om at informasjonskapsler og andre data og plugin-data er valgt, og treff deretter klare nettleserdata etterpå.

Dette vil fjerne informasjonskapsler og nettstedpreferanser også.

3. Fjern oppføringer fra HSTS-filen manuelt

HSTS-filen er et rent tekstdokument som betyr at du enkelt kan manipulere data i den ved hjelp av tekstredigerere.

Forsikre deg om at Firefox er lukket før du gjør det, da innhold vil bli overskrevet når Firefox avsluttes.

Metoden gir deg full kontroll over HSTS, men den krever manuell intervensjon regelmessig, og er kanskje ikke egnet på grunn av dette.

Et alternativ du måtte ha, er å holde utvalgte nettsteder inne og gjøre filen lesbar etterpå for å blokkere nye oppføringer til den.

Du må fortsatt redigere den manuelt regelmessig ettersom HSTS-informasjonen har en utløpsdato.

4. Fjern HSTS-fildata automatisk

Programmer som CCleaner støtter rengjøring av HSTS Supercookies, men du kan også kjøre en lokal kommando som ekko ''> /SiteSecurityServiceState.txt på filen regelmessig for å fjerne den. Hvis du legger den til i en batch-fil og kjører den ved systemstart eller avslutning, bør du ikke trenger å bekymre deg for HSTS-informasjon som vedvarer på tvers av økter.

5. Gjør HSTS-filen skrivebeskyttet

Denne radikale tilnærmingen blokkerer Firefox fra å lagre informasjon til HSTS-filen. Selv om det er effektivt for å forhindre sporing, betyr det at nettleseren ikke kan bruke HSTS for å forbedre sikkerheten.

Høyreklikk på filen og velg egenskaper fra hurtigmenyen for å gjøre den bare lesbar på Windows. Finn skrivebeskyttet-boksen på siden Egenskaper og sjekk den. Klikk på OK etterpå for å bruke endringen. (Takkbukser)