¿Una técnica popular impide que el HSTS funcione dentro de una sesión del navegador Firefox?

7

Firefox almacena los datos de HSTS en un archivo llamado SiteSecurityServiceState.txt .

Esto plantea dos problemas serios:

  1. Crea una oportunidad para el seguimiento. Consulte enlace

  2. Crea un problema de privacidad al dejar atrás una lista de texto sin formato de muchos de los sitios seguros que visitó el usuario, incluso después de que hayan borrado el caché y el historial del navegador.

Debido a estos problemas, muchas personas han optado por crear un archivo ficticio SiteSecurityServiceState.txt creando un archivo de cero bytes con ese nombre y marcándolo como solo lectura .

Esta técnica evita que Firefox escriba nada en SiteSecurityServiceState.txt .

Obviamente, esto evita los beneficios inter-session de HSTS (es decir, una sesión de Firefox que beneficia a la próxima sesión), ya que no hay datos que persistan. Pero, ¿previene esta técnica los beneficios intra-session de HSTS (es decir, los beneficios inin una sola sesión de Firefox) ?

Como un aparte, otros navegadores importantes sufren estos mismos problemas. Pero para mantener las respuestas enfocadas, esta pregunta solo trata con el navegador Firefox.

    
pregunta RockPaperLizard 25.08.2016 - 12:32
fuente

1 respuesta

2

De acuerdo con Comentario # 68 en el error 775370 el archivo se vacía al salir del navegador o después cinco minutos. Este es el error que introdujo el archivo SiteSecurityServiceState.txt .

Implica que las "cookies" de HSTS durante la sesión se almacenan en la memoria.

Por un rápido vistazo al código, parece que se trata de una estructura de datos de memoria llamada DataStorage que se serializa en el archivo.

    
respondido por el GnP 25.08.2016 - 19:52
fuente

Lea otras preguntas en las etiquetas