私人会话结束后,Firefox不清除HSTS“ cookies”


12

根据互联网上的一些信息(例如这里),火狐删除隐私浏览会话之后HSTS信息。

我的理解是,这将意味着清除位于Firefox配置文件目录(位于\ AppData \ Roaming \ Mozilla \ Firefox \ Profiles下)的“ SiteSecurityServiceState.txt”文件。

我正在运行FF 42.0,并将其(在选项>隐私下)配置为“始终使用私人浏览模式”。

但是现在由于某种原因该文件没有被清除。实际上,Firefox正在使用特定条目填充它。

我说这是因为几个小时前我手动清除了文件,此后我运行了一些测试会话(浏览了一段时间的网络,启用了“始终使用私有浏览模式”)并在每次运行后关闭浏览器测试会话。现在,当我检查“ SiteSecurityServiceState.txt”文件时,看起来它具有与以前相同的条目。

以下是其中一些条目的摘录:

SiteSecurityServiceState.txt

  1. 在私人会话之后应该删除“ SiteSecurityServiceState.txt”中的条目是否正确?
  2. 是否需要一些系统属性才能在会话结束时清除条目?

3
不应在bugzilla.mozilla.org上讨论此主题吗?
harrymc

不确定这是否有帮助,但是您可以在Firefox中使用一些首选项。在浏览器栏中键入about:config,然后查看以下首选项– 跟踪保护
tyelford

Answers:


1

HSTS cookie是特殊的。他们告诉您的浏览器该站点应始终与https连接。它们确实有到期日,并且将在该日期到期,如果您在到期前访问该站点,则该站点可以更新Cookie的到期日。

这种情况应该发生,这不是故障。

原因是这样做可以保护您免受中间攻击的攻击,这可能会拦截您的所有流量。他们可以更改从该站点发送的页面中的代码,以将所有https://更改为http://,而您的浏览器将接受该代码。因此,当您输入密码时,流量将以明文形式发送。

急于迁移到使用https://网站的问题就解决了这一问题,而HSTS就是解决方案。因此,如果您曾经安全地连接到该站点,那么它将设置HSTS cookie,并且即使html表示http://,您的浏览器也将坚持对每个连接使用https://。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.