O Firefox não está limpando os “cookies” da HSTS quando fechados após uma sessão privada

Navegue suas respostas
12

Com base em algumas informações na Internet (por exemplo, aqui ), o Firefox elimina as informações HSTS após uma sessão de navegação privada.

Meu entendimento é que isso significaria que o arquivo "SiteSecurityServiceState.txt" localizado no diretório de perfil do Firefox (em \ AppData \ Roaming \ Mozilla \ Firefox \ Profiles) está desmarcado.

Estou executando o FF 42.0 e o configurei (em Opções > Privacidade) para "Sempre usar o modo de navegação privada".

Agora, no entanto, por algum motivo, esse arquivo não está sendo limpo . Na verdade, parece que está sendo preenchido pelo Firefox com entradas específicas.

Estou dizendo isso porque limpei o arquivo manualmente há algumas horas e, desde então, executei algumas sessões de teste (navegando na Web por algum tempo, com a opção "Sempre usar o modo de navegação privada" ativada) e fechei navegador após cada sessão de teste. Agora, quando verifiquei o arquivo "SiteSecurityServiceState.txt", parece que ele tem as mesmas entradas de antes.

Aqui está uma extração de algumas das entradas:

  1. Écorretoqueasentradasem"SiteSecurityServiceState.txt" sejam excluídas após uma sessão privada?
  2. Existe alguma propriedade do sistema que precisaria ser ativada para limpar as entradas no final de uma sessão?
por coderworks 28.11.2015 / 06:31

2 respostas

1

Os cookies HSTS são especiais. Eles dizem ao seu navegador que esse site deve estar sempre conectado com https. Eles têm uma data de expiração e eles expirarão nessa data, se você visitar o site antes da expiração, o site poderá atualizar a data de expiração do cookie.

Isso deve acontecer, não é uma falha.

A razão é que isso está protegendo você contra um homem no meio ataque, que poderia estar interceptando todo o seu tráfego. Eles poderiam alterar o código nas páginas enviadas do site para alterar todos os https: // para http: // e o navegador aceitaria isso. Então, quando você está digitando sua senha, o tráfego será enviado sem criptografia.

A pressa de migrar para o https: // por sites deixou esse buraco, e a HSTS foi a solução. Então, se você já se conectou a esse site com segurança, ele configuraria o cookie HSTS, e seu navegador insistiria em usar https: // para cada conexão, mesmo se o html dissesse http: //

    
por 05.04.2016 / 21:17
0

Isso deve resolver seu problema. link

    
por 31.12.2015 / 05:09

Tags

Nomes de arquivo muito longos e o Windows não pode abrir os arquivos Posso sincronizar a pasta de rede com uma unidade do Google?