Firefox tidak menghapus "cookie" HSTS ketika ditutup setelah sesi pribadi

12

Berdasarkan beberapa informasi di internet (mis. Di sini ), Firefox menghapus informasi HSTS setelah sesi penjelajahan pribadi.

Pemahaman saya adalah bahwa ini berarti bahwa file "SiteSecurityServiceState.txt" terletak di direktori profil Firefox (di bawah \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles) dihapus.

Saya menjalankan FF 42.0 dan telah mengonfigurasinya (di bawah Opsi> Privasi) untuk "Selalu gunakan mode penelusuran pribadi".

Namun sekarang karena beberapa alasan file ini tidak dihapus . Bahkan sepertinya semakin diisi oleh Firefox dengan entri tertentu.

Saya mengatakan ini karena saya membersihkan file secara manual beberapa jam yang lalu dan sejak itu saya telah menjalankan beberapa sesi tes (browsing web untuk beberapa waktu, dengan "Selalu gunakan mode penelusuran pribadi" diaktifkan) dan menutup browser setelah setiap sesi tes. Sekarang ketika saya memeriksa file "SiteSecurityServiceState.txt", sepertinya ia memiliki entri yang sama seperti sebelumnya.

Berikut adalah ekstrak dari beberapa entri di dalamnya:

SiteSecurityServiceState.txt

  1. Apakah benar bahwa entri dalam "SiteSecurityServiceState.txt" harus dihapus setelah sesi pribadi?
  2. Apakah ada beberapa properti sistem yang perlu diaktifkan untuk menghapus entri pada akhir sesi?
firefox privacy coderworks
sumber
3
Bukankah seharusnya topik ini dibahas di bugzilla.mozilla.org ?
harrymc
Tidak yakin apakah ini akan membantu tetapi ada beberapa preferensi yang dapat Anda mainkan di Firefox. Ketik tentang: konfigurasi di bilah peramban Anda dan lihat preferensi ini - Perlindungan Pelacakan
tyelford

Jawaban:

1

Cookie HSTS adalah spesial. Mereka memberi tahu browser Anda bahwa situs itu harus selalu terhubung dengan https. Mereka memiliki tanggal kedaluwarsa dan mereka akan kedaluwarsa pada tanggal itu, jika Anda mengunjungi situs itu sebelum kedaluwarsa maka situs tersebut dapat memperbarui tanggal kedaluwarsa cookie.

Ini yang seharusnya terjadi, itu bukan kesalahan.

Alasannya adalah bahwa ini melindungi Anda terhadap seorang pria dalam serangan tengah, yang bisa mencegat semua lalu lintas Anda. Mereka dapat mengubah kode di halaman yang dikirim dari situs untuk mengubah semua https: // menjadi http: // dan browser Anda hanya akan menerimanya. Jadi, ketika Anda memasukkan kata sandi Anda, lalu lintas akan dikirim secara jelas.

Buruan untuk pindah menggunakan https: // oleh situs meninggalkan lubang ini, dan HSTS adalah solusinya. Jadi jika Anda pernah terhubung ke situs itu dengan aman maka itu akan mengatur cookie HSTS, dan browser Anda akan bersikeras menggunakan https: // untuk setiap koneksi bahkan jika html mengatakan http: //

Stuart
sumber