วิธีป้องกันการติดตาม HSTS ใน Firefox

• หมวดหมู่: Firefox

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

HTTP Strict Transport Security (HSTS) ได้รับการออกแบบมาเพื่อช่วยรักษาความปลอดภัยเว็บไซต์ (ผู้ที่ใช้ HTTPS) โดยประกาศให้เว็บเบราว์เซอร์ทราบว่าควรสื่อสารผ่าน HTTPS กับเซิร์ฟเวอร์เท่านั้นเพื่อป้องกันการเชื่อมต่อจากการลดระดับการโจมตีและการขโมยคุกกี้

Mozilla ดำเนินการรองรับ HSTS ในรูปแบบปัจจุบันในรูปแบบ Firefox ในปี 2014 และมีการใช้งานใน Firefox ทุกเวอร์ชันตั้งแต่นั้นเป็นต้นมา

Ars Technica เป็นกลุ่มแรก ๆ ที่แจ้งข้อกังวลเกี่ยวกับการนำ HSTS ไปใช้ในเว็บเบราว์เซอร์เนื่องจากอนุญาตให้ผู้ให้บริการไซต์สามารถวางซูเปอร์คุกกี้ในเบราว์เซอร์โดยใช้เทคโนโลยีที่ออกแบบมาเพื่อปรับปรุงความปลอดภัยของผู้ใช้

ถึง ไซต์สาธิต ถูกสร้างขึ้นโดย Sam Greenhalgh เพื่อแสดงแนวคิด เมื่อคุณเยี่ยมชมไซต์ในเบราว์เซอร์ที่รองรับ HSTS คุณจะได้รับรหัสเฉพาะซึ่งยังคงอยู่ในเซสชันของเบราว์เซอร์และสามารถใช้เพื่อติดตามคุณได้

หมายเหตุ: ปัญหานี้ไม่ จำกัด เฉพาะเว็บเบราว์เซอร์ Firefox เนื่องจาก Google Chrome และเบราว์เซอร์อื่น ๆ ที่ใช้คุณลักษณะนี้มีความเสี่ยงต่อการติดตาม HSTS เช่นกัน

วิธีการจัดการ HSTS โดย Firefox ในปัจจุบัน

Firefox บันทึกข้อมูล HSTS ลงในไฟล์ SiteSecurityServiceState.txt ที่คุณพบในรูทของโฟลเดอร์โปรไฟล์ Firefox ของคุณ

วิธีที่ง่ายที่สุดในการเปิดคือโหลด about: support ในแถบที่อยู่ของ Firefox และคลิกที่ปุ่ม 'show folder' บนหน้าหลังจากโหลดเสร็จแล้ว ซึ่งจะเปิดโฟลเดอร์โปรไฟล์ของ Firefox ในเบราว์เซอร์ไฟล์ระบบเริ่มต้น

เมื่อคุณเปิดไฟล์ในโปรแกรมแก้ไขข้อความธรรมดาคุณจะได้รับรายชื่อโดเมนและค่าต่างๆที่เกี่ยวข้องรวมถึงวันที่หมดอายุ

Firefox จัดการ HSTS ในโหมดการท่องเว็บส่วนตัวและโหมดการเรียกดูปกติแตกต่างกัน

1. โหมดการเรียกดูปกติ: HSTS ยังคงมีอยู่ในเซสชัน
2. โหมดการท่องเว็บแบบส่วนตัว: ข้อมูล HSTS จะถูกลบออกหลังจากเซสชัน

โปรดทราบว่าไซต์สามารถเข้าถึงข้อมูล HSTS ที่สร้างขึ้นระหว่างเซสชันการเรียกดูปกติเมื่อคุณเข้าสู่โหมดการเรียกดูแบบส่วนตัวในเซสชันนั้น

ป้องกันการติดตาม HSTS

ไม่เหมือนกับคุกกี้ HSTS ไม่มีการอนุญาตพิเศษหรือการขึ้นบัญชีดำ คุณลักษณะนี้เปิดใช้งานโดยค่าเริ่มต้นและดูเหมือนว่าจะไม่มีการตั้งค่าใด ๆ ที่จะปิดใช้งาน

แม้ว่าจะมีตัวเลือกให้ทำ แต่ก็ส่งผลต่อความปลอดภัยขณะท่องอินเทอร์เน็ต

1. ใช้โหมดการท่องเว็บส่วนตัวเท่านั้น

เนื่องจาก Firefox กำลังล้างข้อมูล HSTS หลังจากที่คุณปิดเซสชันการท่องเว็บแบบส่วนตัวขณะนี้จึงเป็นตัวเลือกที่ดีที่สุดในการป้องกันการติดตามซูเปอร์คุกกี้โดยไม่สูญเสียความปลอดภัย

ในการเปิด Firefox ในโหมดการเรียกดูส่วนตัวให้ใช้ทางลัด Ctrl-Shift-P หรือกดปุ่ม Alt แล้วเลือกไฟล์> หน้าต่างส่วนตัวใหม่

2. ล้างการตั้งค่าไซต์เมื่อออก

ตัวเลือกที่สองที่คุณมีคือการล้างการตั้งค่าไซต์ทุกครั้งที่คุณปิดเบราว์เซอร์ Firefox สิ่งนี้จะกำจัดข้อมูล HSTS ทั้งหมดที่บันทึกไว้ในไฟล์ SiteSecurityServiceState.txt แต่ส่งผลกระทบต่อการตั้งค่าเฉพาะไซต์อื่น ๆ เช่นสิทธิ์เฉพาะไซต์หรือระดับการซูมเมื่อการดำเนินการถูกล้างเช่นกัน

หมายเหตุ: ใช้งานได้ใน Google Chrome เช่นกัน แตะที่ Ctrl-Shift-Del เพื่อเปิดกล่องโต้ตอบล้างข้อมูลการท่องเว็บในเบราว์เซอร์ ตรวจสอบให้แน่ใจว่าได้เลือก 'คุกกี้และไซต์และข้อมูลปลั๊กอินอื่น ๆ ' แล้วกดล้างข้อมูลการท่องเว็บในภายหลัง

การดำเนินการนี้จะลบคุกกี้และการตั้งค่าไซต์ด้วย

3. ลบรายการออกจากไฟล์ HSTS ด้วยตนเอง

ไฟล์ HSTS เป็นเอกสารข้อความธรรมดาซึ่งหมายความว่าคุณสามารถจัดการข้อมูลในไฟล์ได้อย่างง่ายดายโดยใช้โปรแกรมแก้ไขข้อความ

ตรวจสอบให้แน่ใจว่า Firefox ปิดก่อนที่คุณจะดำเนินการดังกล่าวเนื่องจากเนื้อหาจะถูกเขียนทับเมื่อ Firefox สิ้นสุดลง

วิธีนี้ช่วยให้คุณสามารถควบคุม HSTS ได้อย่างเต็มที่ แต่ต้องมีการแทรกแซงด้วยตนเองเป็นประจำและอาจไม่เหมาะสมด้วยเหตุนี้

ทางเลือกหนึ่งที่คุณอาจมีคือเก็บไซต์ที่เลือกไว้และทำให้ไฟล์เป็นแบบอ่านอย่างเดียวในภายหลังเพื่อบล็อกรายการใหม่

คุณยังคงต้องแก้ไขด้วยตนเองเป็นประจำเนื่องจากข้อมูล HSTS มีวันหมดอายุ

4. ลบข้อมูลไฟล์ HSTS โดยอัตโนมัติ

โปรแกรมเช่น CCleaner รองรับการล้าง HSTS Supercookies แต่คุณยังสามารถเรียกใช้คำสั่งในเครื่องเช่น echo ''> /SiteSecurityServiceState.txt บนไฟล์เป็นประจำเพื่อลบออก หากคุณเพิ่มลงในไฟล์แบตช์และเรียกใช้เมื่อเริ่มระบบหรือปิดระบบคุณก็ไม่ต้องกังวลเกี่ยวกับข้อมูล HSTS ที่ยังคงมีอยู่ในเซสชัน

5. ทำให้ไฟล์ HSTS เป็นแบบอ่านอย่างเดียว

วิธีการที่รุนแรงนี้บล็อก Firefox จากการบันทึกข้อมูลไปยังไฟล์ HSTS แม้ว่าจะมีประสิทธิภาพในการป้องกันการติดตาม แต่ก็หมายความว่าเบราว์เซอร์ไม่สามารถใช้ HSTS เพื่อปรับปรุงความปลอดภัยได้

ในการทำให้เป็นแบบอ่านอย่างเดียวบน Windows ให้คลิกขวาที่ไฟล์และเลือกคุณสมบัติจากเมนูบริบท ค้นหากล่องอ่านอย่างเดียวในหน้าคุณสมบัติและเลือก คลิกตกลงหลังจากนั้นเพื่อใช้การเปลี่ยนแปลง (ขอบคุณกางเกง)