IPleak.com

Что такое HSTS Супер куки (HSTS Super cookies) и в чем их опасность для анонимности.

 

Что такое HSTS Super cookies и в чем их опасность?

HSTS (HTTP Strict Transport Security) — это механизм для принудительного установления защищенного соединения с сайтом.

Этот механизм называют также HSTS Super cookies, потому что сайт передает браузеру флаг, который сохраняется, его трудно удалить и по нему вас можно идентифицировать.

 

Как работают HSTS Super cookies?

Когда вы посещаете сайт с защищенным соединением (https), браузер отображает специальную иконку в адресной строке, говорящую о том, что соединение зашифровано и не может быть перехвачено сторонними лицами.

Даже если вы перешли  на сайт по незащищенной ссылке “http://”, то после прочтения заголовка HSTS (если он включен на сайте), браузер автоматически перейдет на защищенное соединение “https://”. При этом для каждого домена HSTS-флаг (в виде “true” или “false”) хранится в браузере долгое время (зачастую даже при использовании приватного режима просмотра) и может быть извлечен с любого домена (в отличие от cookies, которые доступны только для домена, который их установил).

С помощью механизма HSTS вас можно определить даже после смены IP при отключенных cookies и плагинах.

 

Как защититься от HSTS Super cookies?

  • В новых браузерах Opera, Firefox, Chrome можно очистить HSTS.

  • В браузере Firefox начиная с версии 34.0.5 в приватном режиме просмотра значения HSTS не устанавливаются во время работы.

  • Вы можете использовать старые версии браузеров. (Например, Opera до 12-й версии или Internet Explorer до 11-й версии).

К сожалению, в браузере Safari не только сохраняются HSTS Super cookies, но и копируются в сервис iCloud, поэтому удалить их практически невозможно.

 

Как удалить HSTS Super Cookies в Firefox:

  1. Закройте все вкладки и окна с нужным сайтом.

  2. Удалите cookies и историю посещений.

  3. Введите в адресной строке: about:permissions и нажмите “I’ll be careful, i promise!”.

  4. Выберите сайт из списка и нажмите кнопку “Forget about this site”. 



Как удалить HSTS Super Cookies в Chrome / Opera :

  1. Введите в адресной строке: chrome://net-internals/#hsts (для Chrome) или opera://net-internals/#hsts (для Opera).

  2. Введите нужный домен в поле “Delete domain” и нажмите “Delete”

  3. Введите домен в поле “Query domain” и нажмите “Query”. Если ответ — “Not Found”, значит HSTS удалены.