Contenido
HTTP Strict Transport Security (HSTS) fue diseñado para ayudar a proteger los sitios web (aquellos que usan HTTPS) al declarar a los navegadores web que deben comunicarse solo a través de HTTPS con el servidor para proteger las conexiones contra ataques de degradación y secuestro de cookies.
Mozilla implementó soporte para HSTS en su forma actual en Firefox en 2014 y ha estado activo en todas las versiones de Firefox desde entonces.
Ars Technica fueron de los primeros en plantear inquietudes sobre la implementación de HSTS en los navegadores web, ya que permitió a los operadores del sitio colocar supercookies en los navegadores utilizando la tecnología que fue diseñada para mejorar la seguridad del usuario.
UNA sitio de demostración fue creado por Sam Greenhalgh para demostrar el concepto. Cuando visita el sitio en un navegador compatible con HSTS, se le asigna una identificación única que persiste en todas las sesiones del navegador y puede usarse para rastrearlo debido a ello.
Nota: Este problema no se limita al navegador web Firefox, ya que Google Chrome y otros navegadores que han implementado la función también son vulnerables al seguimiento HSTS.
Cómo gestiona Firefox actualmente HSTS
Firefox guarda la información HSTS en el archivo SiteSecurityServiceState.txt que se encuentra en la raíz de la carpeta de su perfil de Firefox.
La forma más fácil de abrirlo es cargar about: support en la barra de direcciones de Firefox y hacer clic en el botón «mostrar carpeta» en la página después de que se haya cargado. Esto abre la carpeta de perfil de Firefox en el navegador de archivos del sistema predeterminado.
Cuando abra el archivo en un editor de texto sin formato, obtendrá una lista de nombres de dominio y valores asociados con ellos, incluida una fecha de vencimiento.
Firefox maneja HSTS en modo de navegación privada y en modo de navegación normal de manera diferente.
- Modo de navegación regular: HSTS persiste entre sesiones.
- Modo de navegación privada: la información HSTS se elimina después de la sesión.
Tenga en cuenta que los sitios pueden acceder a la información HSTS creada durante las sesiones de navegación regulares cuando ingresa al modo de navegación privada en esa sesión.
Protección contra seguimiento HSTS
A diferencia de las cookies, HSTS no ofrece un enfoque de lista blanca o lista negra. La función está habilitada de forma predeterminada y no parece haber preferencia para deshabilitarla.
Incluso si hubiera una opción para hacerlo, afectaría la seguridad mientras navega por Internet.
1. Utilice únicamente el modo de navegación privada
Dado que Firefox borra la información HSTS después de cerrar las sesiones de navegación privada, actualmente es la mejor opción para evitar el seguimiento de supercookies sin comprometer la seguridad.
Para iniciar Firefox en modo de navegación privada, use el atajo Ctrl-Shift-P, o presione la tecla Alt y seleccione Archivo> Nueva ventana privada.
2. Borre las preferencias del sitio al salir.
La segunda opción que tiene es borrar las Preferencias del sitio cada vez que cierra el navegador Firefox. Esto elimina toda la información HSTS guardada en el archivo SiteSecurityServiceState.txt, pero afecta otras preferencias específicas del sitio, como los permisos específicos del sitio o los niveles de zoom, a medida que la operación también los borra.
Nota: Esto también funciona en Google Chrome. Toque Ctrl-Shift-Supr para abrir el cuadro de diálogo Borrar datos de navegación en el navegador. Asegúrese de que «cookies y otros datos de sitios y complementos» esté seleccionado y luego presione Borrar datos de navegación.
Esto también eliminará las cookies y las preferencias del sitio.
3. Elimine las entradas del archivo HSTS manualmente
El archivo HSTS es un documento de texto sin formato, lo que significa que puede manipular los datos en él fácilmente utilizando editores de texto.
Asegúrese de que Firefox esté cerrado antes de hacerlo, ya que el contenido se sobrescribirá cuando se cancele Firefox.
El método le brinda un control total sobre HSTS, pero requiere una intervención manual con regularidad y puede que no sea adecuado debido a esto.
Una opción que puede tener es mantener los sitios seleccionados y luego hacer que el archivo sea de solo lectura para bloquear nuevas entradas.
Aún tendrá que editarlo manualmente con regularidad, ya que la información HSTS tiene una fecha de vencimiento.
4. Elimina los datos del archivo HSTS automáticamente
Programas como CCleaner admiten la limpieza de HSTS Supercookies, pero también puede ejecutar un comando local como echo ' ' >/SiteSecurityServiceState.txt en el archivo con regularidad para eliminarlo. Si lo agrega a un archivo por lotes y lo ejecuta al iniciar o apagar el sistema, entonces no debería tener que preocuparse por la persistencia de la información HSTS entre sesiones.
5.Haga que el archivo HSTS sea de solo lectura
Este enfoque radical impide que Firefox guarde información en el archivo HSTS. Si bien eso es efectivo para prevenir el seguimiento, significa que el navegador no puede hacer uso de HSTS para mejorar la seguridad.
Para que sea de solo lectura en Windows, haga clic con el botón derecho en el archivo y seleccione propiedades en el menú contextual. Busque el cuadro de solo lectura en la página de propiedades y márquelo. Haga clic en Aceptar después para aplicar el cambio. (Gracias pantalones)