Algunas preguntas:
- ¿Qué son las súper cookies de HSTS?
- ¿Cómo funcionan?
- ¿Por qué es posible acceder a ellos desde múltiples dominios?
- ¿Tengo que preocuparme y, en caso afirmativo, cómo mitigar sus efectos?
Sources
Básicamente, HSTS permite que un sitio almacene una bandera (verdadero o falso), en otras palabras un poco, en un navegador web.
El almacenamiento de las súper cookies de HSTS se realiza de esta manera: Digamos que queremos almacenar el valor A, binario 01000001. Luego podemos almacenar esto redirigiendo al usuario a una serie de sitios web, como enlace que indica HSTS = desactivado redirigiendo a: enlace que indica HSTS = on redirigiendo a: enlace que indica HSTS = desactivado ... ... redirigiendo a: enlace que indica HSTS = on
"Leer" la cookie es simple como redirigir al usuario a: enlace Si HSTS está activado, el servidor web recibirá una solicitud para enlace , de lo contrario enlace redirigir luego a enlace y así sucesivamente.
El diseño incorrecto en HSTS es que el navegador debe "corregir" una visita HTTP a HTTPS automáticamente si HSTS está habilitado. Una idea mejor sería que una solicitud HTTP a un recurso HSTS en su lugar fallaría completamente sin el recurso del usuario, aparte de escribir https manualmente antes de la URL. Pero tales cosas podrían poner en peligro la usabilidad.
No, no necesitas preocuparte. Un sitio que quiera rastrearlo también podría almacenar su dirección IP en el lado del servidor para poder mostrar anuncios específicos y demás. Si desea navegar completamente de forma anónima, por ejemplo, a través de TOR, debe desactivar HSTS por completo, y en su lugar, debe variar la tira SSL al verificar manualmente que se está implementando HTTPS.