인터넷의 일부 정보 (예 : here )를 기반으로 Firefox는 개인 탐색 세션 후 HSTS 정보를 삭제합니다.
내 이해는 이것이 Firefox 프로필 디렉토리 (\ AppData \ Roaming \ Mozilla \ Firefox \ Profiles 아래)에있는 “SiteSecurityServiceState.txt”파일이 지워 졌음을 의미합니다.
FF 42.0을 실행 중이며 옵션> 개인 정보에서 “항상 개인 정보 보호 모드 사용”으로 구성했습니다.
그러나 어떤 이유로 든이 파일 은 지워지지 않습니다 . 실제로 Firefox 가 특정 항목으로 채워지는 것처럼 보입니다 .
몇 시간 전에 파일을 수동으로 지우고 나서 몇 가지 테스트 세션을 실행 한 후 (항상 웹 브라우저를 사용하여 “항상 개인 정보 보호 브라우징 모드 사용”으로 설정) 각 브라우저를 닫은 후 브라우저를 닫았습니다. 테스트 세션. “SiteSecurityServiceState.txt”파일을 확인하면 이전과 동일한 항목이있는 것 같습니다.
다음은 일부 항목의 추출입니다.
- 개인 세션 후에 “SiteSecurityServiceState.txt”의 항목을 삭제해야합니까?
- 세션이 끝날 때 항목을 지우려면 일부 시스템 속성을 사용해야합니까?
답변
HSTS 쿠키는 특별합니다. 브라우저는 해당 사이트가 항상 https로 연결되어야한다고 브라우저에 알려줍니다. 만료 날짜가 있으며 해당 날짜에 만료됩니다. 만료 전에 해당 사이트를 방문하면 사이트에서 쿠키 만료 날짜를 업데이트 할 수 있습니다.
이런 일이 일어나야하는 것은 잘못이 아닙니다.
그 이유는 이것이 중간 공격에서 모든 트래픽을 가로 챌 수있는 사람으로부터 사용자를 보호하기 때문입니다. 사이트에서 보낸 페이지의 코드를 변경하여 모든 https : //를 http : //로 변경하면 브라우저가이를 수락합니다. 따라서 비밀번호를 입력하면 해당 트래픽이 일반으로 전송됩니다.
사이트 별 https : // 사용으로의 돌진은이 구멍을 떠났고 HSTS가 해결책이었습니다. 따라서 해당 사이트에 안전하게 연결하면 HSTS 쿠키가 설정되고 html이 http : //라고 말한 경우에도 브라우저는 모든 연결에 https : //를 사용해야한다고 주장합니다.