Firefox에서 HSTS 추적을 방지하는 방법

문제를 제거하기 위해 도구를 사용해보십시오

HSTS (HTTP Strict Transport Security)는 다운 그레이드 공격 및 쿠키 하이재킹으로부터 연결을 보호하기 위해 HTTPS를 통해서만 서버와 통신해야한다고 웹 브라우저에 선언하여 웹 사이트 (HTTPS를 사용하는 사용자)를 보호하도록 설계되었습니다.

Mozilla는 현재 형식으로 HSTS에 대한 지원을 구현했습니다. 2014 년 Firefox 그 이후로 모든 Firefox 버전에서 활성화되었습니다.

Ars Technica 사이트 운영자가 사용자 보안을 향상시키기 위해 설계된 기술을 사용하여 브라우저에 슈퍼 쿠키를 심을 수 있도록 허용했기 때문에 웹 브라우저에서 HSTS 구현에 대한 우려를 가장 먼저 제기했습니다.

데모 사이트 개념을 보여주기 위해 Sam Greenhalgh가 만들었습니다. HSTS를 지원하는 브라우저에서 사이트를 방문하면 브라우저 세션에서 유지되는 고유 ID가 할당되며 이로 인해 사용자를 추적하는 데 사용할 수 있습니다.

tracking firefox

참고 :이 문제는 Firefox 웹 브라우저에만 국한되지 않습니다. Google Chrome 및이 기능을 구현 한 다른 브라우저도 HSTS 추적에 취약합니다.

htst super cookies

현재 Firefox에서 HSTS를 처리하는 방법

Firefox는 HSTS 정보를 Firefox 프로필 폴더의 루트에있는 SiteSecurityServiceState.txt 파일에 저장합니다.

파일을 여는 가장 쉬운 방법은 Firefox의 주소 표시 줄에 about : support를로드하고로드 된 후 페이지에서 '폴더 표시'버튼을 클릭하는 것입니다. 기본 시스템 파일 브라우저에서 Firefox의 프로필 폴더가 열립니다.

sitesecurityservicestate

일반 텍스트 편집기에서 파일을 열면 만료 날짜를 포함하여 관련 도메인 이름 및 값 목록이 표시됩니다.

htst information

Firefox는 개인 브라우징 모드와 일반 브라우징 모드에서 HSTS를 다르게 처리합니다.

  1. 일반 브라우징 모드 : HSTS는 세션간에 지속됩니다.
  2. 프라이빗 브라우징 모드 : 세션 후 HSTS 정보가 삭제됩니다.

사이트는 사용자가 해당 세션에서 비공개 브라우징 모드를 시작할 때 일반 브라우징 세션 중에 생성 된 HSTS 정보에 액세스 할 수 있습니다.

HSTS 추적에 대한 보호

쿠키와 달리 HSTS는 화이트리스트 또는 블랙리스트 접근 방식을 제공하지 않습니다. 이 기능은 기본적으로 활성화되어 있으며 비활성화 할 기본 설정이없는 것 같습니다.

그렇게 할 수있는 옵션이 있더라도 인터넷을 검색하는 동안 보안에 영향을 미칠 수 있습니다.

1. 프라이빗 브라우징 모드 만 사용

private browsing

Firefox는 개인 브라우징 세션을 닫은 후 HSTS 정보를 삭제하므로 현재 보안을 손상시키지 않고 슈퍼 쿠키 추적을 방지하는 가장 좋은 방법입니다.

비공개 브라우징 모드에서 Firefox를 시작하려면 단축키 Ctrl-Shift-P를 사용하거나 Alt 키를 누르고 파일> 새 비공개 창을 선택합니다.

2. 종료시 사이트 환경 설정 지우기

clear site preferences

두 번째 옵션은 Firefox 브라우저를 닫을 때마다 사이트 기본 설정을 지우는 것입니다. 이렇게하면 SiteSecurityServiceState.txt 파일에 저장된 모든 HSTS 정보가 제거되지만 사이트 별 권한이나 확대 / 축소 수준과 같은 다른 사이트 별 기본 설정은 작업을 통해 지워질 때 영향을받습니다.

참고 : 이는 Google 크롬에서도 작동합니다. Ctrl-Shift-Del을 눌러 브라우저에서 인터넷 사용 기록 지우기 대화 상자를 엽니 다. '쿠키 및 기타 사이트 및 플러그인 데이터'가 선택되어 있는지 확인하고 나중에 인터넷 사용 기록 지우기를 누르십시오.

이렇게하면 쿠키 및 사이트 기본 설정도 제거됩니다.

3. HSTS 파일에서 수동으로 항목 제거

HSTS 파일은 텍스트 편집기를 사용하여 쉽게 데이터를 조작 할 수있는 일반 텍스트 문서입니다.

Firefox가 종료되면 콘텐츠를 덮어 쓰므로 먼저 Firefox가 닫혀 있는지 확인하십시오.

이 방법은 HSTS를 완전히 제어 할 수 있지만 정기적으로 수동 개입이 필요하며 이로 인해 적합하지 않을 수 있습니다.

한 가지 옵션은 선택한 사이트를 유지하고 나중에 파일을 읽기 전용으로 설정하여 새 항목을 차단하는 것입니다.

HSTS 정보에는 만료 날짜가 있으므로 정기적으로 수동으로 편집해야합니다.

4. HSTS 파일 데이터를 자동으로 제거

CCleaner와 같은 프로그램은 HSTS Supercookies 정리를 지원하지만 다음과 같은 로컬 명령을 실행할 수도 있습니다. echo ''> /SiteSecurityServiceState.txt 파일을 정기적으로 제거하십시오. 배치 파일에 추가하고 시스템 시작 또는 종료시 실행하면 세션 전체에 지속되는 HSTS 정보에 대해 걱정할 필요가 없습니다.

5. HSTS 파일을 읽기 전용으로 만듭니다.

read-only

이 근본적인 접근 방식은 Firefox가 HSTS 파일에 정보를 저장하는 것을 차단합니다. 이는 추적 방지에 효과적이지만 브라우저가 보안을 향상시키기 위해 HSTS를 사용할 수 없음을 의미합니다.

Windows에서 읽기 전용으로 만들려면 파일을 마우스 오른쪽 버튼으로 클릭하고 상황에 맞는 메뉴에서 속성을 선택합니다. 속성 페이지에서 읽기 전용 상자를 찾아 확인합니다. 변경 사항을 적용하려면 확인을 클릭하십시오. (팬츠 감사합니다)