Alcune domande:
- Quali sono i super cookie di HSTS?
- Come funzionano?
- Perché è possibile accedervi da più domini?
- Devo preoccuparmi e in caso affermativo, come mitigare il loro effetto?
Fonti
Fondamentalmente, HSTS consente a un sito di memorizzare un flag (vero o falso) - in altre parole un po ', in un browser web.
La memorizzazione dei super cookie HSTS avviene in questo modo: Diciamo che vogliamo memorizzare il valore A, binario 01000001. Possiamo quindi archiviarlo come reindirizzando l'utente a una serie di siti Web, ad esempio link che indica HSTS = off reindirizzamento a: link che indica HSTS = attivo reindirizzamento a: link che indica HSTS = off ... ... reindirizzamento a: link che indica HSTS = on
"Leggere" il cookie è semplice come reindirizzare l'utente a: link Se HSTS è attivo, il webserver riceverà una richiesta per link , altrimenti link reindirizza quindi al link e così via.
Il misdesign in HSTS è che il browser deve "correggere" una visita HTTP su HTTPS automaticamente se HSTS è abilitato. Un'idea migliore sarebbe che una richiesta HTTP a una risorsa HSTS fallirebbe del tutto senza alcun ricorso da parte dell'utente se non digitando manualmente https prima dell'URL. Ma cose del genere potrebbero mettere in pericolo l'usabilità.
No non devi preoccuparti. Un sito che vuole rintracciare potrebbe anche memorizzare il tuo indirizzo IP sul lato server per poter mostrare annunci mirati e così via. Se vuoi navigare in modo completamente anonimo, ad esempio tramite TOR, devi disattivare completamente HSTS, e invece variare da SSLstrip controllando manualmente che venga distribuito HTTPS.