Firefox non cancella i "cookie" HSTS quando viene chiuso dopo una sessione privata

12

Sulla base di alcune informazioni su Internet (ad es. Qui ), Firefox elimina le informazioni HSTS dopo una sessione di navigazione privata.

La mia comprensione è che ciò significherebbe che il file "SiteSecurityServiceState.txt" situato nella directory del profilo di Firefox (in \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles) è cancellato.

Sto eseguendo FF 42.0 e l'ho configurato (in Opzioni> Privacy) per "Usa sempre la modalità di navigazione privata".

Ora, tuttavia, per qualche motivo questo file non viene cancellato . In effetti sembra che venga popolato da Firefox con voci specifiche.

Lo dico perché ho cancellato il file manualmente un paio d'ore fa e da allora ho eseguito alcune sessioni di test (navigando sul web per un po 'di tempo, con quella "Usa sempre la modalità di navigazione privata" abilitata) e chiuso il browser dopo ogni sessione di test. Ora, quando ho controllato il file "SiteSecurityServiceState.txt", sembra che abbia le stesse voci di prima.

Ecco un estratto di alcune delle voci in esso:

SiteSecurityServiceState.txt

  1. È corretto che le voci in "SiteSecurityServiceState.txt" debbano essere eliminate dopo una sessione privata?
  2. Esistono alcune proprietà di sistema che dovrebbero essere abilitate per cancellare le voci al termine di una sessione?
firefox  privacy 
coderworks
fonte
3
Questo argomento non dovrebbe essere discusso su bugzilla.mozilla.org ?
harrymc,
Non sono sicuro se questo aiuterà, ma ci sono alcune preferenze con cui puoi giocare in Firefox. Digita about: config nella barra del browser e dai un'occhiata a queste preferenze - Tracking Protection
tyelford

Risposte:

1

I cookie HSTS sono speciali. Dicono al tuo browser che quel sito dovrebbe essere sempre connesso con https. Hanno una data di scadenza e scadranno a tale data, se visiti quel sito prima della scadenza, il sito potrebbe aggiornare la data di scadenza dei cookie.

Questo dovrebbe succedere, non è un difetto.

Il motivo è che questo ti protegge da un uomo in mezzo all'attacco, che potrebbe intercettare tutto il tuo traffico. Potrebbero cambiare il codice nelle pagine inviate dal sito per cambiare tutti gli https: // in http: // e il tuo browser lo accetterebbe. Pertanto, quando si inserisce la password, il traffico verrà inviato in chiaro.

La fretta di passare all'utilizzo di https: // dai siti ha lasciato questo buco, e HSTS è stata la soluzione. Quindi, se ti connetti mai a quel sito in modo sicuro, imposterebbe il cookie HSTS e il tuo browser insisterebbe sull'uso di https: // per ogni connessione anche se l'html dicesse http: //

Stuart
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.