Что такое HSTS Супер куки (HSTS Super cookies) и в чем их опасность для анонимности.
Что такое HSTS Super cookies и в чем их опасность?
HSTS (HTTP Strict Transport Security) — это механизм для принудительного установления защищенного соединения с сайтом.
Этот механизм называют также HSTS Super cookies, потому что сайт передает браузеру флаг, который сохраняется, его трудно удалить и по нему вас можно идентифицировать.
Как работают HSTS Super cookies?
Когда вы посещаете сайт с защищенным соединением (https), браузер отображает специальную иконку в адресной строке, говорящую о том, что соединение зашифровано и не может быть перехвачено сторонними лицами.
Даже если вы перешли на сайт по незащищенной ссылке “http://”, то после прочтения заголовка HSTS (если он включен на сайте), браузер автоматически перейдет на защищенное соединение “https://”. При этом для каждого домена HSTS-флаг (в виде “true” или “false”) хранится в браузере долгое время (зачастую даже при использовании приватного режима просмотра) и может быть извлечен с любого домена (в отличие от cookies, которые доступны только для домена, который их установил).
С помощью механизма HSTS вас можно определить даже после смены IP при отключенных cookies и плагинах.
Как защититься от HSTS Super cookies?
-
В новых браузерах Opera, Firefox, Chrome можно очистить HSTS.
-
В браузере Firefox начиная с версии 34.0.5 в приватном режиме просмотра значения HSTS не устанавливаются во время работы.
-
Вы можете использовать старые версии браузеров. (Например, Opera до 12-й версии или Internet Explorer до 11-й версии).
К сожалению, в браузере Safari не только сохраняются HSTS Super cookies, но и копируются в сервис iCloud, поэтому удалить их практически невозможно.
Как удалить HSTS Super Cookies в Firefox:
-
Закройте все вкладки и окна с нужным сайтом.
-
Удалите cookies и историю посещений.
-
Введите в адресной строке: about:permissions и нажмите “I’ll be careful, i promise!”.
-
Выберите сайт из списка и нажмите кнопку “Forget about this site”.
Как удалить HSTS Super Cookies в Chrome / Opera :
-
Введите в адресной строке: chrome://net-internals/#hsts (для Chrome) или opera://net-internals/#hsts (для Opera).
-
Введите нужный домен в поле “Delete domain” и нажмите “Delete”
-
Введите домен в поле “Query domain” и нажмите “Query”. Если ответ — “Not Found”, значит HSTS удалены.