comportamento HSTS in modalità in incognito?

Naviga le tue risposte
11

Per definizione, la modalità di navigazione in incognito non dovrebbe lasciare una scia di siti Web visitati.

Tuttavia, HSTS (HTTP Strict Transport Security) richiede che il browser conservi un database di host che hanno richiesto l'HSTS e onora l'HSTS per le richieste successive.

Questo introduce un conflitto e ci sono due possibili modi per risolverlo:

  1. I browser onorano sempre le richieste HSTS effettuate all'interno di una sessione di navigazione in incognito, anche durante la navigazione al di fuori della sessione di navigazione in incognito.

  2. I browser onorano le richieste HSTS effettuate all'interno di una sessione di navigazione in incognito solo per quella sessione.

Quali di questi sono implementati nei browser più diffusi?

Inoltre, come discusso nei commenti, le richieste HSTS al di fuori della sessione in incognito riguardano le richieste all'interno della sessione in incognito?

    
posta HRJ 07.08.2014 - 07:42
fonte

2 risposte

3

In Firefox, il set HSTS non è condiviso tra la modalità di navigazione normale e privata, a partire da Firefox 34.

Internet Explorer (11) non supporta HSTS .

In Chromium e Opera, il set HSTS è unico per ogni profilo di navigazione (normale e in incognito). Questo può essere facilmente verificato visitando chrome://net-internals/#hsts :

  1. Avvia una nuova sessione di Chrome per ottenere uno stato pulito, ad es. chrome.exe --user-data-dir=%TMP%\whatever su Windows.
  2. Visita chrome://net-internals/#hsts e inserisci un dominio che utilizza HSTS, come "addons.mozilla.org" nella casella di ricerca, quindi premi "Query". Non dovrebbe segnalare alcun dominio.
  3. Apri una finestra di navigazione in incognito e visita addons.mozilla.org. Riprovare il passaggio 2 e osservare che il risultato è ancora vuoto.
  4. Ripeti il passaggio 2 nella finestra di navigazione in incognito e osserva che la query produce un risultato.
  5. I passaggi precedenti mostrano che HSTS non passa da normale a in incognito. Ricominciare tutto da capo, ma scambia gli ultimi passaggi e osserva che è vero anche il contrario: HSTS non perde dalla normale modalità di navigazione alla modalità di navigazione in incognito.
risposta data 08.08.2014 - 01:25
fonte
3

usando Fiddler e visitando un sito con HSTS abilitato

onora HSTS in incognito se impostato in precedenza in modalità non in incognito (cioè, immediatamente tunnel verso HTTPS, non richiedere l'URL HTTP)

  • Chrome: SÌ
  • Firefox: SÌ
  • IE 11: non sembra onorare HSTS

onora HSTS in incognito se il sito visitato in precedenza è in incognito (cioè, immediatamente tunnel verso HTTPS, non richiedere l'URL HTTP)

  • Chrome: NO
  • Firefox: NO
  • IE 11: non sembra onorare HSTS

sembra che IE abbia lo scopo di supportarlo in IE 12 - link

    
risposta data 08.08.2014 - 01:20
fonte

Leggi altre domande sui tag

In che modo bypassare HSTS con SSLSTRIP + funziona esattamente? AMD64 overflow e null byte