Firefox memorizza i dati HSTS in un file denominato SiteSecurityServiceState.txt
.
Questo pone due problemi seri:
-
Crea un'opportunità per il tracciamento. Vedi link
-
Crea un problema di privacy lasciando un semplice elenco di testo di molti dei siti sicuri visitati dall'utente, anche dopo aver cancellato la cache e la cronologia del browser.
A causa di questi problemi, molte persone hanno scelto di creare un file fittizio SiteSecurityServiceState.txt
creando un file a byte zero con quel nome e contrassegnandolo come di sola lettura .
Questa tecnica impedisce a Firefox di scrivere qualsiasi cosa su SiteSecurityServiceState.txt
.
Ovviamente, questo impedisce i inter-sessione vantaggi dell'HSTS (ovvero una sessione di Firefox che beneficia della sessione successiva), poiché non vi sono dati persistenti. Ma questa tecnica impedisce i vantaggi di intra-sessione di HSTS (ovvero i vantaggi all'interno di una singola sessione di Firefox) ?
Per inciso, altri principali browser soffrono di questi stessi problemi. Ma per mantenere le risposte focalizzate, questa domanda riguarda solo il browser Firefox.