Una tecnica popolare impedisce a HSTS di funzionare all'interno di una sessione del browser Firefox?

7

Firefox memorizza i dati HSTS in un file denominato SiteSecurityServiceState.txt .

Questo pone due problemi seri:

  1. Crea un'opportunità per il tracciamento. Vedi link

  2. Crea un problema di privacy lasciando un semplice elenco di testo di molti dei siti sicuri visitati dall'utente, anche dopo aver cancellato la cache e la cronologia del browser.

A causa di questi problemi, molte persone hanno scelto di creare un file fittizio SiteSecurityServiceState.txt creando un file a byte zero con quel nome e contrassegnandolo come di sola lettura .

Questa tecnica impedisce a Firefox di scrivere qualsiasi cosa su SiteSecurityServiceState.txt .

Ovviamente, questo impedisce i inter-sessione vantaggi dell'HSTS (ovvero una sessione di Firefox che beneficia della sessione successiva), poiché non vi sono dati persistenti. Ma questa tecnica impedisce i vantaggi di intra-sessione di HSTS (ovvero i vantaggi all'interno di una singola sessione di Firefox) ?

Per inciso, altri principali browser soffrono di questi stessi problemi. Ma per mantenere le risposte focalizzate, questa domanda riguarda solo il browser Firefox.

    
posta RockPaperLizard 25.08.2016 - 12:32
fonte

1 risposta

2

In base al commento n. 68 sull'errore 775370 il file viene svuotato all'uscita del browser o dopo cinque minuti. Questo è il bug che ha introdotto il file SiteSecurityServiceState.txt .

Implica che i "cookie" HSTS all'interno della sessione siano memorizzati in memoria.

Da una rapida occhiata al codice sembra che si tratti di una struttura di dati di memoria chiamata DataStorage serializzata sul file.

    
risposta data 25.08.2016 - 19:52
fonte

Leggi altre domande sui tag