Firefox almacena los datos de HSTS en un archivo llamado SiteSecurityServiceState.txt
.
Esto plantea dos problemas serios:
-
Crea una oportunidad para el seguimiento. Consulte enlace
-
Crea un problema de privacidad al dejar atrás una lista de texto sin formato de muchos de los sitios seguros que visitó el usuario, incluso después de que hayan borrado el caché y el historial del navegador.
Debido a estos problemas, muchas personas han optado por crear un archivo ficticio SiteSecurityServiceState.txt
creando un archivo de cero bytes con ese nombre y marcándolo como solo lectura .
Esta técnica evita que Firefox escriba nada en SiteSecurityServiceState.txt
.
Obviamente, esto evita los beneficios inter-session de HSTS (es decir, una sesión de Firefox que beneficia a la próxima sesión), ya que no hay datos que persistan. Pero, ¿previene esta técnica los beneficios intra-session de HSTS (es decir, los beneficios inin una sola sesión de Firefox) ?
Como un aparte, otros navegadores importantes sufren estos mismos problemas. Pero para mantener las respuestas enfocadas, esta pregunta solo trata con el navegador Firefox.