Kuinka estää HSTS-seuranta Firefoxissa

HTTP-tiukka liikenneturvallisuus (HSTS) on suunniteltu auttamaan verkkosivustojen (HTTPS: ää käyttävien) suojaamisessa ilmoittamalla selaimille, että niiden tulisi kommunikoida palvelimen kanssa vain HTTPS: n kautta suojatakseen yhteyksiä downgrade-hyökkäyksiltä ja evästeiden kaappauksilta.

Mozilla toteutti HSTS - tuen nykyisessä muodossaan vuonna 2003 Firefox vuonna 2014 ja se on ollut aktiivinen kaikissa Firefox-versioissa siitä lähtien.

Ars Technica olivat ensimmäisten joukossa, jotka herättivät huolensa HSTS: n käyttöönotosta selaimissa, koska se antoi sivuston ylläpitäjille mahdollisuuden istuttaa superkeksejä selaimissa käyttäjien tietoturvan parantamiseksi suunnitellulla tekniikalla.

TO esittelysivusto on luonut Sam Greenhalgh esittelemään konseptia. Kun vierailet sivustossa HSTS-järjestelmää tukevassa selaimessa, sinulle annetaan yksilöllinen tunnus, joka säilyy selainistuntojen ajan ja jota voidaan käyttää seuraamaan sinua sen takia.

tracking firefox

Huomaa: Tämä ongelma ei rajoitu Firefox-selaimeen, koska myös Google Chrome ja muut ominaisuuden käyttöön ottaneet selaimet ovat alttiita HSTS-seurannalle.

htst super cookies

Kuinka Firefox käsittelee HSTS: tä tällä hetkellä

Firefox tallentaa HSTS-tiedot tiedostoon SiteSecurityServiceState.txt, joka löytyy Firefox-profiilikansion juuresta.

Helpoin tapa avata se on ladata noin: tuki Firefoxin osoitepalkkiin ja napsauttaa 'Näytä kansio' -painiketta sivulla sen lataamisen jälkeen. Tämä avaa Firefoxin profiilikansion oletusjärjestelmätiedostoselaimessa.

sitesecurityservicestate

Kun avaat tiedoston selkeässä tekstieditorissa, saat luettelon verkkotunnusten nimistä ja niihin liittyvistä arvoista, mukaan lukien viimeinen käyttöpäivä.

htst information

Firefox käsittelee HSTS: ää yksityisessä selaustilassa ja tavallisessa selaustilassa eri tavalla.

  1. Tavallinen selaustila: HSTS jatkuu koko istunnon ajan.
  2. Yksityinen selaustila: HSTS-tiedot poistetaan istunnon jälkeen.

Huomaa, että sivustot voivat käyttää HSTS-tietoja, jotka on luotu tavallisten selausistuntojen aikana, kun siirryt yksityiseen selaustilaan kyseisessä istunnossa.

Suoja HSTS-seurantaa vastaan

Toisin kuin evästeet, HSTS ei tarjoa valkoiseen luetteloon tai mustalle listalle lähestymistapaa. Ominaisuus on oletusarvoisesti käytössä, ja ei ole mitään mieluumpaa poistaa sitä käytöstä.

Vaikka siihen olisi mahdollisuus, se vaikuttaisi turvallisuuteen Internet-selailun aikana.

1. Käytä vain yksityistä selaustilaa

private browsing

Koska Firefox tyhjentää HSTS-tiedot yksityisen selauksen istuntojen sulkemisen jälkeen, se on tällä hetkellä paras vaihtoehto estää superkeksejen seuranta vaarantamatta tietoturvaa.

Voit käynnistää Firefoxin yksityisessä selaustilassa käyttämällä pikavalintaa Ctrl-Shift-P tai napsauttamalla Alt-näppäintä ja valitsemalla Tiedosto> Uusi yksityinen ikkuna.

2. Poista sivuston asetukset poistuttaessa

clear site preferences

Toinen vaihtoehto, joka sinulla on, on tyhjentää Sivustoasetukset aina, kun suljet Firefox-selaimen. Tämä eroaa kaikista SiteSecurityServiceState.txt-tiedostoon tallennetuista HSTS-tiedoista, mutta vaikuttaa muihin sivustoominaisuuksiin, kuten sivustokohtaiset käyttöoikeudet tai zoomaustasot, kun ne myös poistetaan toiminnasta.

Huomaa: Tämä toimii myös Google Chromessa. Napauta Ctrl-Shift-Del avataksesi tyhjennä selaustiedot-valintaikkunan. Varmista, että ”evästeet ja muut sivusto- ja laajennustiedot” on valittu, ja paina sitten tyhjennä selaustiedot.

Tämä poistaa myös evästeet ja sivustoasetukset.

3. Poista merkinnät HSTS-tiedostosta manuaalisesti

HSTS-tiedosto on teksti, joka tarkoittaa, että voit käsitellä sen tietoja helposti tekstieditorien avulla.

Varmista, että Firefox on suljettu ennen kuin teet sen, koska sisältö korvataan, kun Firefox lopetetaan.

Menetelmä antaa sinulle täyden hallinnan HSTS: llä, mutta se vaatii manuaalista interventiota säännöllisesti, eikä se välttämättä sovellu tämän vuoksi.

Yksi vaihtoehto, joka sinulla voi olla, on pitää valitut sivustot ja tehdä tiedostosta vain luku -tyyppinen sen jälkeen, kun haluat estää siihen uusia merkintöjä.

Sinun on edelleen muokattava sitä manuaalisesti säännöllisesti, koska HSTS-tiedoilla on viimeinen voimassaolopäivä.

4. Poista HSTS-tiedostotiedot automaattisesti

CCleanerin kaltaiset ohjelmat tukevat HSTS Supercookies -sovellusten puhdistusta, mutta voit myös suorittaa paikallisen komennon, kuten echo ''> /SiteSecurityServiceState.txt tiedostoon säännöllisesti poistaaksesi sen. Jos lisäät sen komentojonotiedostoon ja suoritat sen järjestelmän käynnistyksen tai sammutuksen yhteydessä, sinun ei tarvitse huolehtia siitä, että HSTS-tiedot jatkuvat istuntojen välillä.

5. Tee HSTS-tiedostosta vain luku -tyyppinen

read-only

Tämä radikaali lähestymistapa estää Firefoxia tallentamasta tietoja HSTS-tiedostoon. Vaikka se on tehokas estämään seurantaa, se tarkoittaa, että selain ei voi käyttää HSTS: ää turvallisuuden parantamiseksi.

Jos haluat tehdä siitä vain luku -tyyppisen Windowsissa, napsauta tiedostoa hiiren kakkospainikkeella ja valitse ominaisuudet pikavalikosta. Etsi ominaisuus-sivulta vain luku -ruutu ja valitse se. Napsauta OK jälkeenpäin ottaaksesi muutoksen käyttöön. (Kiitos housut)