Як запобігти відстеженню HSTS у Firefox
- Категорія: Firefox
Сувора безпека транспорту HTTP (HSTS) була розроблена, щоб допомогти захистити веб-сайти (ті, що використовують HTTPS), оголосивши веб-браузерам, що вони повинні спілкуватися тільки через HTTPS з сервером для захисту з'єднань від атаки та зменшення файлів cookie.
У поточній формі Mozilla впровадила підтримку HSTS Firefox 2014 року і з тих пір він був активним у всіх версіях Firefox.
Ars Technica одними з перших висловили занепокоєння щодо впровадження HSTS у веб-браузерах, оскільки це дозволило операторам сайтів встановлювати суперкокі в браузерах, використовуючи технологію, розроблену для підвищення безпеки користувачів.
ДО демонстраційний сайт був створений Сем Грінхалгом для демонстрації концепції. Під час відвідування веб-сайту у веб-переглядачі, що підтримує HSTS, вам присвоюється унікальний ідентифікатор, який зберігається протягом усіх сеансів браузера і може використовуватися для відстеження вас через нього.
Примітка. Ця проблема не обмежується веб-браузером Firefox, оскільки Google Chrome та інші веб-переглядачі, які реалізували цю функцію, також вразливі до відстеження HSTS.
Зараз Firefox обробляє HSTS
Firefox зберігає інформацію HSTS у файлі SiteSecurityServiceState.txt, який ви знайдете в корені папки профілю Firefox.
Найпростіший спосіб її відкрити - це завантажити приблизно: підтримка в адресному рядку Firefox та після завантаження натиснути кнопку 'показати папку' на сторінці. Це відкриє папку профілю Firefox у браузері системних файлів за замовчуванням.
Відкривши файл у текстовому редакторі, ви отримаєте список доменних імен та значень, пов’язаних із ними, включаючи дату закінчення терміну дії.
Firefox по-різному обробляє HSTS в режимі приватного перегляду та звичайного режиму перегляду.
- Регулярний режим перегляду: HSTS зберігається протягом сеансів.
- Режим приватного перегляду: інформація HSTS видаляється після сеансу.
Зауважте, що сайти можуть отримувати доступ до інформації HSTS, створеної під час регулярних сеансів перегляду, коли ви переходите в режим приватного перегляду на цьому сеансі.
Захист від відстеження HSTS
На відміну від файлів cookie, HSTS не пропонує підходу до списку білого чи чорного списку. Ця функція включена за замовчуванням, і, здається, немає переваги її відключати.
Навіть якщо є можливість зробити це, це вплине на безпеку під час перегляду Інтернету.
1. Використовуйте лише режим приватного перегляду
Оскільки Firefox очищає інформацію HSTS після закриття сеансів приватного перегляду, на даний момент найкращим варіантом є запобігання відстеження суперкокі без погіршення безпеки.
Щоб запустити Firefox в режимі приватного перегляду, скористайтеся ярликом Ctrl-Shift-P або натисніть клавішу Alt і виберіть 'Файл> Нове приватне вікно'.
2. Очистіть налаштування сайту під час виходу
Другий варіант, який ви маєте, - очистити налаштування сайту під час закриття браузера Firefox. Це позбавляється від усієї інформації HSTS, збереженої у файлі SiteSecurityServiceState.txt, але впливає на інші специфічні налаштування сайту, такі як дозволи, пов’язані з сайтом або рівні масштабування, оскільки вони також очищаються операцією.
Примітка. Це працює і в Google Chrome. Торкніться клавіші Ctrl-Shift-Del, щоб відкрити діалогове вікно діалогового вікна даних про браузер. Переконайтесь, що вибрано 'файли cookie та інші дані про веб-сайти та плагіни' та натисніть кнопку 'Очистити дані'.
Це також видалить файли cookie та налаштування сайту.
3. Видаліть записи з файлу HSTS вручну
Файл HSTS - це звичайний текстовий документ, що означає, що ви можете легко обробляти дані в ньому за допомогою текстових редакторів.
Переконайтеся, що Firefox закритий, перш ніж це зробити, оскільки вміст буде перезаписано, коли Firefox припиняється.
Метод дає вам повний контроль над HSTS, але він вимагає регулярного втручання вручну, і може бути непридатним через це.
Один із варіантів, який ви можете мати, - це зберігати вибрані сайти та робити файл лише для читання, щоб блокувати нові записи до нього.
Вам потрібно буде регулярно редагувати його вручну, оскільки інформація про HSTS має термін придатності.
4. Видаліть дані файлів HSTS автоматично
Такі програми, як CCleaner, підтримують очищення HSTS Supercookies, але ви також можете запустити локальну команду, наприклад echo ''> /SiteSecurityServiceState.txt
у файлі регулярно, щоб видалити його. Якщо ви додасте його до пакетного файлу та запустите його під час запуску або вимкнення системи, вам не доведеться турбуватися про інформацію HSTS, що зберігається протягом сеансів.
5. Зробіть файл HSTS лише для читання
Цей радикальний підхід блокує Firefox від збереження інформації у файлі HSTS. Хоча це ефективно у запобіганні відстеження, це означає, що браузер не може використовувати HSTS для підвищення безпеки.
Щоб зробити його доступним лише для читання в Windows, клацніть файл правою кнопкою миші та виберіть властивості у контекстному меню. Знайдіть поле 'лише для читання' на сторінці властивостей і перевірте його. Після цього натисніть кнопку ОК, щоб застосувати зміни. (Спасибі Штани)