如何在Firefox中阻止HSTS跟踪

尝试消除问题的工具

HTTP严格传输安全性(HSTS)旨在通过向Web浏览器声明它们仅应通过HTTPS与服务器进行通信来保护网站(使用HTTPS的网站),以保护网站免受降级攻击和Cookie劫持,从而帮助保护网站的安全。

Mozilla在以下版本中以其当前形式实现了对HSTS的支持 2014年的Firefox 从那时起,它在所有Firefox版本中都处于活动状态。

技术工作室 最早引起人们对在网络浏览器中实施HSTS的担忧,因为它允许站点运营商使用旨在提高用户安全性的技术在浏览器中植入超级cookie。

演示网站 由Sam Greenhalgh创建,以演示该概念。当您在支持HSTS的浏览器中访问该网站时,系统会为您分配一个唯一的ID,该ID会在浏览器会话中持续存在,因此可用于跟踪您。

tracking firefox

注意:此问题不仅限于Firefox Web浏览器,因为Google Chrome和其他已实现此功能的浏览器也容易受到HSTS跟踪的影响。

htst super cookies

Firefox当前如何处理HSTS

Firefox将HSTS信息保存到文件SiteSecurityServiceState.txt中,该文件可在Firefox配置文件文件夹的根目录中找到。

打开它的最简单方法是在Firefox的地址栏中加载about:support,并在加载后单击页面上的“显示文件夹”按钮。这将在默认系统文件浏览器中打开Firefox的配置文件文件夹。

sitesecurityservicestate

当您在纯文本编辑器中打开文件时,您将获得域名和与之相关的值的列表,包括到期日期。

htst information

Firefox在专用浏览模式和常规浏览模式下处理HSTS的方式有所不同。

  1. 常规浏览模式:HSTS在所有会话中均保持不变。
  2. 私密浏览模式:会话结束后删除HSTS信息。

请注意,当您在常规浏览会话中进入私人浏览模式时,站点可以访问该会话中创建的HSTS信息。

防止HSTS跟踪

与Cookie不同,HSTS不提供白名单或黑名单方法。该功能默认情况下处于启用状态,似乎没有任何偏好禁用它。

即使可以选择这样做,也会影响浏览Internet时的安全性。

1.仅使用私人浏览模式

private browsing

由于Firefox在关闭私人浏览会话后会清除HSTS信息,因此,它是当前最好的选择,可在不影响安全性的情况下阻止超级cookie跟踪。

要以私人浏览模式启动Firefox,请使用快捷键Ctrl-Shift-P或按Alt键并选择“文件”>“新建私人窗口”。

2.退出时清除站点首选项

clear site preferences

您拥有的第二个选项是在关闭Firefox浏览器时清除“站点首选项”。这会删除保存到SiteSecurityServiceState.txt文件中的所有HSTS信息,但是会影响其他特定于站点的首选项,例如特定于站点的权限或缩放级别,因为它们也会被操作清除。

注意:这在Google Chrome中也适用。点击Ctrl-Shift-Del在浏览器中打开清除浏览数据对话框。确保选择了“ Cookie以及其他网站和插件数据”,然后点击清除浏览数据。

这也将删除cookie和网站首选项。

3.手动从HSTS文件中删除条目

HSTS文件是纯文本文档,这意味着您可以使用文本编辑器轻松地操作其中的数据。

在执行此操作之前,请确保已关闭Firefox,因为终止Firefox时内容将被覆盖。

该方法可让您完全控制HSTS,但需要定期进行人工干预,因此可能不适合。

您可能拥有的一种选择是保留选择的站点,然后将文件设为只读,以阻止向其添加新条目。

由于HSTS信息的有效日期仍然需要定期进行手动编辑。

4.自动删除HSTS文件数据

诸如CCleaner之类的程序支持HSTS Supercookie的清除,但是您也可以运行本地命令,例如 回声''> /SiteSecurityServiceState.txt 定期删除文件上的文件。如果将其添加到批处理文件中并在系统启动或关闭时运行,则不必担心HSTS信息在会话之间持续存在。

5.将HSTS文件设为只读

read-only

这种激进的方法阻止Firefox将信息保存到HSTS文件。虽然这可以有效地防止跟踪,但是这意味着浏览器无法利用HSTS来提高安全性。

要使其在Windows上为只读,请右键单击该文件,然后从上下文菜单中选择属性。在属性页上找到只读框,然后选中它。之后单击确定以应用更改。 (谢谢裤子)