כיצד למנוע מעקב HSTS בפיירפוקס

נסה את הכלי שלנו לביטול בעיות

אבטחת תעבורה קפדנית של HTTP (HSTS) תוכננה לעזור לאבטחת אתרים (אלה המשתמשים ב- HTTPS) על ידי הצהרת דפדפני האינטרנט שעליהם לתקשר רק באמצעות HTTPS עם השרת כדי להגן על קשרים מפני התקפות שדרוג לאחור וחטיפת עוגיות.

מוזילה יישמה תמיכה ב- HSTS במתכונתה הנוכחית ב- פיירפוקס בשנת 2014 ומאז הוא פעיל בכל גרסאות Firefox.

Ars Technica היו מהראשונים שהעלו חששות מהטמעת HSTS בדפדפני האינטרנט שכן זה אפשר למפעילי אתרים לשתול קוקי-על בדפדפנים באמצעות הטכנולוגיה שנועדה לשפר את אבטחת המשתמשים.

ל אתר הדגמה נוצר על ידי סם גרינהאלג כדי להדגים את הרעיון. כשאתה מבקר באתר בדפדפן התומך ב- HSTS, מוקצה לך מזהה ייחודי שנמשך לאורך כל הפעלות בדפדפן וניתן להשתמש בו כדי לעקוב אחרך בגלל זה.

tracking firefox

הערה: בעיה זו אינה מוגבלת לדפדפן האינטרנט של פיירפוקס שכן Google Chrome ודפדפנים אחרים שהטמיעו את התכונה פגיעים גם הם למעקב HSTS.

htst super cookies

כיצד מטפלת HSTS על ידי Firefox כרגע

Firefox שומרת מידע HSTS לקובץ SiteSecurityServiceState.txt שתמצא בשורש תיקיית פרופיל Firefox שלך.

הדרך הקלה ביותר לפתוח אותה היא לטעון בערך: תמיכה בסרגל הכתובות של פיירפוקס ולחץ על כפתור 'הצג תיקיה' בדף לאחר הטעינה. פעולה זו פותחת את תיקיית הפרופיל של Firefox בדפדפן ברירת המחדל של קבצי המערכת.

sitesecurityservicestate

כשאתה פותח את הקובץ בעורך טקסט רגיל תקבל רשימה של שמות תחום וערכים המשויכים אליהם כולל תאריך תפוגה.

htst information

Firefox מטפלת ב- HSTS במצב גלישה פרטית ובמצב גלישה רגיל באופן שונה.

  1. מצב גלישה רגיל: HSTS נמשך לאורך כל ההפעלות.
  2. מצב גלישה פרטית: פרטי HSTS נמחקים לאחר הפגישה.

שים לב שאתרים יכולים לגשת למידע HSTS שנוצר במהלך הפעלות גלישה רגילות כשאתה נכנס למצב גלישה פרטית באותה הפעלה.

הגנה מפני מעקב HSTS

בניגוד לעוגיות, HSTS לא מציעה גישה לבחינת רשימת ההיתרים או הרשימה השחורה. התכונה מופעלת כברירת מחדל ונראה כי אין עדיפות להשבית אותה.

גם אם תהיה אפשרות לעשות זאת, הדבר ישפיע על האבטחה בזמן הגלישה באינטרנט.

1. השתמש במצב גלישה פרטית בלבד

private browsing

מכיוון שפיירפוקס מנקה מידע על HSTS לאחר סגירת מפגשי גלישה פרטיים, היא כרגע האפשרות הטובה ביותר למנוע מעקב אחר עוגיות העל מבלי לפגוע באבטחה.

כדי להפעיל את Firefox במצב גלישה פרטית, השתמש בקיצור הדרך Ctrl-Shift-P, או לחץ על מקש Alt ובחר קובץ> חלון פרטי חדש.

2. נקה את העדפות האתר ביציאה

clear site preferences

האפשרות השנייה שיש לך היא למחוק העדפות אתר בכל פעם שאתה סוגר את דפדפן Firefox. זה נפטר מכל המידע של HSTS שנשמר בקובץ SiteSecurityServiceState.txt אך משפיע על העדפות ספציפיות אחרות לאתר כגון הרשאות ספציפיות לאתר או רמות זום ככל שהן נפרקות גם מהפעולה.

הערה: זה עובד גם בגוגל כרום. הקש על Ctrl-Shift-Del כדי לפתוח את דו-שיח נתוני הגלישה הברורים בדפדפן. ודא שנבחרו 'קובצי cookie ונתוני אתרים ותוסף אחר' ופגעו בנתוני גלישה ברורים לאחר מכן.

פעולה זו תסיר גם קובצי cookie והעדפות האתר.

.3 הסר רשומות מקובץ HSTS ידנית

קובץ ה- HSTS הוא מסמך טקסט רגיל שמשמעותו ניתן לתפעל בו נתונים בקלות באמצעות עורכי טקסט.

ודא שפיירפוקס נסגר לפני שתעשה זאת מכיוון שתוכן יוחלף עם סיום Firefox.

השיטה נותנת לך שליטה מלאה על HSTS אך היא דורשת התערבות ידנית באופן קבוע, וייתכן שהיא לא מתאימה בגלל זה.

אפשרות אחת שעשויה להיות לך היא לשמור על אתרים נבחרים ולהפוך את הקובץ לקריאה בלבד לאחר מכן כדי לחסום ערכים חדשים אליו.

עדיין עליך לערוך אותו באופן ידני באופן קבוע מכיוון שלמידע HSTS יש תאריך תפוגה.

4. הסר את נתוני קובץ HSTS באופן אוטומטי

תוכניות כמו CCleaner תומכות בניקוי HSTS Supercookies אך ניתן גם להריץ פקודה מקומית כגון הד ''> / SiteSecurityServiceState.txt על הקובץ באופן קבוע כדי להסיר אותו. אם אתה מוסיף אותו לקובץ אצווה ומריץ אותו בהפעלה או כיבוי של המערכת, לא תצטרך לדאוג שמידע HSTS יימשך לאורך הפעלות.

5. הפוך את קובץ HSTS לקריאה בלבד

read-only

גישה רדיקלית זו חוסמת את שמירת Firefox לקובץ HSTS. למרות שזה יעיל במניעת מעקב, זה אומר שהדפדפן לא יכול לעשות שימוש ב- HSTS כדי לשפר את האבטחה.

כדי להפוך אותו לקריאה בלבד ב- Windows, לחץ באמצעות לחצן העכבר הימני על הקובץ ובחר מאפיינים מתפריט ההקשר. אתר את התיבה לקריאה בלבד בדף המאפיינים ובדוק אותה. לחץ על אישור אחר כך כדי להחיל את השינוי. (מכנסי תודה)