La collecte des sites TLS dans Firefox !
11 mai 2018
Je viens de faire une découverte fortuite dans mon profil Firefox.
La prise en charge du HSTS (HTTP Strict Transport Security) et HPKP (HTTP Public Key Pinning) a amené les développeurs du navigateur Open Source de la fondation Mozilla à créer un fichier consignant vos interactions avec les sites accédés via https. Le fichier SiteSecurityServiceState.txt contient la liste des noms de domaine disposant de certificats relevant d’autorités de certification. Intéressant à étudier dans le cas d’une analyse post-mortem, ce fichier est potentiellement une source de flicage assez extraordinaire, sachant qu’il n’est pas verrouillé lors de la navigation !
Un aide de camp dans la gestion des cookies
Pour ma part, cette liste me sert à bloquer les cookies, à partir de Options > Vie privée > Exceptions. Les permissions sont stockées, dans l’environnement Firefox dans la table moz_perms de la base permissions.sqlite de votre profil, consultable à l’aide de l’extension SQLite Manager. Ces permissions sont facilement éditables par l’extension ExExceptions.
Extrait de mon fichier SiteSecurityServiceState.txt
Impossible de désactiver la collecte des sites dans le fichier SiteSecurityServiceState.txt
Dans le configurateur de Firefox accessible à partir du lien about:config, j’ai eu beau passer la directive network.stricttransportsecurity.preloadlist à false. J’ai même ajouté la directive network.stricttransportsecurity.enabled en lui donnant la valeur false. Rien y a fait ! La collecte continue de se faire.
NB Billet initialement publié le 21 décembre 2016