在私人会话后关闭时,Firefox 不会清除 HSTS“cookie”

在私人会话后关闭时,Firefox 不会清除 HSTS“cookie”

根据互联网上的一些信息(例如这里),Firefox 会在隐私浏览会话后删除 HSTS 信息。

我的理解是,这意味着位于 Firefox 配置文件目录(在 \AppData\Roaming\Mozilla\Firefox\Profiles 下)中的“SiteSecurityServiceState.txt”文件被清除。

我正在运行 FF 42.0 并已将其配置(在选项 > 隐私下)为“始终使用私人浏览模式”。

但是现在由于某种原因这个文件没有被清除。事实上看起来正在被 Firefox 填充带有具体条目。

我之所以这么说,是因为几个小时前我手动清除了该文件,从那时起,我运行了几次测试会话(浏览网页一段时间,启用“始终使用隐私浏览模式”),并在每次测试会话后关闭浏览器。现在,当我检查“SiteSecurityServiceState.txt”文件时,它看起来与以前有相同的条目。

以下是其中部分内容的摘录:

站点安全服务状态.txt

  1. 私人会话结束后应该删除“SiteSecurityServiceState.txt”中的条目,这样正确吗?
  2. 是否需要启用某些系统属性来清除会话结束时的条目?

答案1

HSTS cookies 很特殊。它们会告诉您的浏览器该网站应始终使用 https 连接。它们确实有一个到期日期,并且会在该日期到期,如果您在到期之前访问该网站,则该网站可能会更新 cookie 到期日期。

这是应该发生的事情,这不是错误。

原因是这可以保护您免受中间人攻击,这种攻击可能会拦截您的所有流量。他们可以更改从网站发送的页面中的代码,将所有 https:// 更改为 http://,而您的浏览器只会接受这一点。因此,当您输入密码时,流量将以明文形式发送。

网站纷纷转向使用 https:// 留下了这个漏洞,而 HSTS 就是解决方案。因此,如果您曾经安全地连接到该网站,那么它将设置 HSTS cookie,并且您的浏览器将坚持使用 https:// 进行每次连接,即使 html 上写着 http://

答案2

这应该可以解决你的问题。 https://support.mozilla.org/en-US/questions/1097368

相关内容