¿Comportamiento de HSTS en modo de incógnito?

11

Por definición, el modo de incógnito no debería dejar un rastro de sitios web visitados.

Sin embargo, HSTS (HTTP Strict Transport Security) requiere que el navegador mantenga una base de datos de hosts que hayan solicitado HSTS, y respete HSTS para solicitudes posteriores.

Esto introduce un conflicto y hay dos formas posibles de resolverlo:

  1. Los navegadores siempre respetan las solicitudes de HSTS realizadas dentro de una sesión de incógnito, incluso cuando se navega fuera de la sesión de incógnito.

  2. Los navegadores respetan las solicitudes de HSTS realizadas dentro de una sesión de incógnito solo para esa sesión.

¿Cuál de ellos está implementado en los navegadores populares?

Además, como se explica en los comentarios, ¿las solicitudes de HSTS fuera de la sesión de incógnito afectan a las solicitudes dentro de la sesión de incógnito?

    
pregunta HRJ 07.08.2014 - 07:42
fuente

2 respuestas

3

En Firefox, el conjunto HSTS no se comparte entre el modo de navegación normal y privado, a partir de Firefox 34.

Internet Explorer (11) no es compatible con HSTS .

En Chromium y Opera, el conjunto HSTS es único para cada perfil de navegación (normal e incógnito). Esto se puede verificar fácilmente visitando chrome://net-internals/#hsts :

  1. Inicia una nueva sesión de Chrome para obtener un estado limpio, por ejemplo. chrome.exe --user-data-dir=%TMP%\whatever en Windows.
  2. Visite chrome://net-internals/#hsts e ingrese un dominio que use HSTS, como "addons.mozilla.org" en el cuadro de búsqueda, y presione "Consulta". No debe reportar ningún dominio.
  3. Abra una ventana de incógnito y visite addons.mozilla.org. Vuelva a intentar el paso 2 y observe que el resultado todavía está vacío.
  4. Repita el paso 2 en la ventana de incógnito y observe que la consulta produce un resultado.
  5. Los pasos anteriores muestran que el HSTS no se filtra de lo normal a lo incógnito. Comience de nuevo, pero cambie los últimos pasos y observe que lo contrario también es cierto: el HSTS no pasa del modo de navegación normal al modo de incógnito.
respondido por el Rob W 08.08.2014 - 01:25
fuente
3

usando Fiddler y visitando un sitio con HSTS habilitado

honre HSTS en incógnito si se estableció previamente en no incógnito (es decir, inmediatamente haga un túnel a HTTPS, no solicite la url de HTTP)

  • Chrome: YES
  • Firefox: YES
  • IE 11: no parece respetar HSTS

honre HSTS en incógnito si anteriormente visitó el sitio solo en incógnito (es decir, inmediatamente haga un túnel a HTTPS, no solicite la url de HTTP)

  • Chrome: NO
  • Firefox: NO
  • IE 11: no parece respetar HSTS

parece que IE lo admite en IE 12 - enlace

    
respondido por el bkr 08.08.2014 - 01:20
fuente

Lea otras preguntas en las etiquetas