Firefox không xóa cookie HSTSiên khi đóng sau một phiên riêng tư

12

Dựa trên một số thông tin trên internet (ví dụ ở đây ), Firefox xóa thông tin HSTS sau một phiên duyệt web riêng tư.

Tôi hiểu rằng điều này có nghĩa là tệp "SiteSecurityServiceState.txt" nằm trong thư mục hồ sơ Firefox (trong \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles) bị xóa.

Tôi đang chạy FF 42.0 và đã định cấu hình nó (trong Tùy chọn> Quyền riêng tư) thành "Luôn sử dụng chế độ duyệt web riêng tư".

Tuy nhiên, bây giờ vì một số lý do, tập tin này không được xóa . Trên thực tế, có vẻ như nó đang được Firefox phổ biến với các mục cụ thể.

Tôi đang nói điều này bởi vì tôi đã xóa tệp theo cách thủ công vài giờ trước và kể từ đó tôi đã chạy một vài phiên kiểm tra (duyệt web một thời gian, với chế độ "Luôn sử dụng chế độ duyệt riêng tư" được bật) và đóng trình duyệt sau mỗi lần buổi kiểm tra. Bây giờ khi tôi kiểm tra tệp "SiteSecurityServiceState.txt", có vẻ như nó có các mục giống như trước đây.

Đây là một trích xuất của một số mục trong đó:

SiteSecurityServiceState.txt

  1. Có đúng là các mục trong "SiteSecurityServiceState.txt" nên bị xóa sau một phiên riêng tư không?
  2. Có một số thuộc tính hệ thống sẽ cần phải được kích hoạt để xóa các mục vào cuối phiên không?
firefox  privacy 
tiền mã hóa
nguồn
3
Không nên thảo luận về chủ đề này trên bugzilla.mozilla.org ?
harrymc
Không chắc chắn nếu điều này sẽ giúp nhưng có một số tùy chọn bạn có thể chơi với Firefox.
Nhập

Câu trả lời:

1

Cookie HSTS là đặc biệt. Họ nói với trình duyệt của bạn rằng trang web đó phải luôn được kết nối với https. Họ có thời hạn sử dụng và họ sẽ hết hạn vào ngày đó, nếu bạn truy cập trang web đó trước khi hết hạn thì trang web có thể cập nhật ngày hết hạn của cookie.

Đây là những gì nên xảy ra, nó không phải là một lỗi.

Lý do là điều này bảo vệ bạn trước một người đàn ông trong cuộc tấn công trung gian, điều đó có thể cản trở tất cả lưu lượng truy cập của bạn. Họ có thể thay đổi mã trong các trang được gửi từ trang web để thay đổi tất cả https: // thành http: // và trình duyệt của bạn sẽ chấp nhận điều đó. Vì vậy, khi bạn nhập mật khẩu, lưu lượng sẽ được gửi rõ ràng.

Việc vội vàng chuyển sang sử dụng https: // bởi các trang web đã để lại lỗ hổng này và HSTS là giải pháp. Vì vậy, nếu bạn đã từng kết nối với trang web đó một cách an toàn thì nó sẽ đặt cookie HSTS và trình duyệt của bạn sẽ khăng khăng sử dụng https: // cho mọi kết nối ngay cả khi html nói http: //

Stuart
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.