Firefox не очищає файли cookie від HSTS, коли закривається після приватного сеансу

12

На підставі якої інформації в Інтернеті (наприклад , тут ), Firefox видаляє HSTS інформації після приватного використання браузера.

Я розумію, що це означатиме, що файл "SiteSecurityServiceState.txt", який знаходиться в каталозі профілів Firefox (під \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles), очищений.

Я використовую FF 42.0 і налаштував його (у розділі Опції> Конфіденційність) на "Завжди використовувати режим приватного перегляду".

Тепер чомусь цей файл не видаляється . Насправді це схоже на те, що він заповнюється Firefox конкретними записами.

Я кажу про це, тому що я очистив файл вручну пару годин тому, і з тих пір я провів кілька тестових сесій (деякий час переглядав Інтернет, ввімкнувся режим "Завжди використовувати режим приватного перегляду") і закрив веб-переглядач після кожного тестова сесія. Тепер, коли я перевірив файл "SiteSecurityServiceState.txt", схоже, він має ті ж записи, що і раніше.

Ось витяг із деяких записів у ньому:

SiteSecurityServiceState.txt

  1. Чи правильно, що записи в "SiteSecurityServiceState.txt" слід видалити після приватного сеансу?
  2. Чи є якась властивість системи, яку потрібно включити для очищення записів наприкінці сеансу?
firefox  privacy 
кодові роботи
джерело
3
Чи не слід обговорювати цю тему на bugzilla.mozilla.org ?
harrymc
Не впевнений, чи це допоможе, але є деякі переваги, з якими можна грати у Firefox. Введіть about: конфігуруйте в панелі браузера і ознайомтеся з цими налаштуваннями - Захист відстеження
tyelford

Відповіді:

1

Файли cookie HSTS особливі. Вони повідомляють вашому веб-переглядачу, що цей сайт повинен бути завжди пов’язаний із https. У них є термін придатності, і термін дії цього терміну закінчується, якщо ви відвідаєте цей сайт до закінчення терміну дії, тоді сайт може оновити дату закінчення терміну дії файлів cookie.

Це те, що має статися, не є виною.

Причина полягає в тому, що це захищає вас від чоловіка в атаці, який може перехопити весь ваш трафік. Вони могли змінити код на сторінках, що надсилаються з сайту, щоб змінити всі https: // на http: //, і ваш браузер просто прийняв би це. Тож коли ви вводите свій пароль, трафік буде надсилатися в поле очищення.

Поспіх перейти до використання https: // сайтів залишив цю дірку, і HSTS було рішенням. Отже, якщо ви коли-небудь надійно підключились до цього сайту, тоді він встановив би cookie HSTS, і ваш браузер наполягає на використанні https: // для кожного з'єднання, навіть якщо html сказав http: //

Стюарт
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.