Firefox не очищает «куки» HSTS при закрытии после приватного сеанса

12

Основываясь на некоторой информации в Интернете (например, здесь ), Firefox удаляет информацию HSTS после частного сеанса просмотра.

Насколько я понимаю, это будет означать, что файл "SiteSecurityServiceState.txt", расположенный в каталоге профиля Firefox (в папке \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles), очищен.

Я использую FF 42.0 и настроил (в разделе «Настройки»> «Приватность») «Всегда использовать режим частного просмотра».

Однако теперь по какой-то причине этот файл не очищается . На самом деле, похоже, что Firefox заполняется конкретными записями.

Я говорю об этом, потому что пару часов назад я очистил файл вручную, и с тех пор я провел несколько тестовых сессий (некоторое время просматривая веб-страницы с включенным «Всегда использовать частный режим просмотра») и закрывал браузер после каждого тестовая сессия. Теперь, когда я проверил файл «SiteSecurityServiceState.txt», он выглядит так же, как и раньше.

Вот выдержка из некоторых записей в нем:

SiteSecurityServiceState.txt

  1. Правильно ли, что записи в «SiteSecurityServiceState.txt» должны быть удалены после частного сеанса?
  2. Есть ли какое-либо системное свойство, которое необходимо включить, чтобы очистить записи в конце сеанса?
firefox privacy coderworks
источник
3
Не стоит ли обсуждать эту тему на bugzilla.mozilla.org ?
harrymc
Не уверен, поможет ли это, но есть некоторые настройки, с которыми вы можете играть в Firefox. Напечатайте about: config в панели браузера и посмотрите на эти предпочтения - Защита от отслеживания
Tyelford

Ответы:

1

Печенье HSTS являются особенными. Они говорят вашему браузеру, что этот сайт всегда должен быть подключен через https. У них действительно есть дата истечения срока действия, и они истекают в эту дату, если вы посетите этот сайт до истечения срока действия, то сайт может обновить дату истечения срока действия файлов cookie.

Это то, что должно произойти, это не вина.

Причина в том, что это защищает вас от человека в средней атаке, который может перехватывать весь ваш трафик. Они могут изменить код на страницах, отправленных с сайта, чтобы изменить все https: // на http: //, и ваш браузер просто примет это. Поэтому, когда вы вводите свой пароль, этот трафик будет отправляться в открытом виде.

Спешка перейти на использование https: // сайтами оставила эту дыру, и HSTS был решением. Так что, если вы когда-нибудь подключитесь к этому сайту безопасно, он установит cookie-файл HSTS, и ваш браузер будет настаивать на использовании https: // для каждого соединения, даже если в HTML-файле указано http: //

Стюарт
источник