La collecte des sites TLS dans Firefox !

Je viens de faire une découverte fortuite dans mon profil Firefox.

La prise en charge du HSTS (HTTP Strict Transport Security) et HPKP (HTTP Public Key Pinning) a amené les développeurs du navigateur Open Source de la fondation Mozilla à créer un fichier consignant vos interactions avec les sites accédés via https. Le fichier SiteSecurityServiceState.txt contient la liste des noms de domaine disposant de certificats relevant d’autorités de certification. Intéressant à étudier dans le cas d’une analyse post-mortem, ce fichier est potentiellement une source de flicage assez extraordinaire, sachant qu’il n’est pas verrouillé lors de la navigation !

Un aide de camp dans la gestion des cookies

Pour ma part, cette liste me sert à bloquer les cookies, à partir de Options > Vie privée > Exceptions. Les permissions sont stockées, dans l’environnement  Firefox dans la table moz_perms de la base permissions.sqlite de votre profil, consultable à l’aide de l’extension SQLite Manager. Ces permissions sont facilement éditables par l’extension ExExceptions.

Extrait de mon fichier SiteSecurityServiceState.txt

SiteSecurityServiceState.txt

Désactiver la collecte des sites dans le fichier SiteSecurityServiceState.txt

Dans le configurateur de Firefox accessible à partir du lien about:config, passez la directive network.stricttransportsecurity.preloadlist à false. J’ai ajouté la directive network.stricttransportsecurity.enabled en lui donnant la valeur false.

NB Billet initialement publié le 21 décembre 2016

Firefox  / Cookies Firefox Formateur Sqlite Gestion des cookies HPKP HSTS HTTP Public Key Pinning HTTP Strict Transport Security SQLite SSL 

Commentaires

Excellent ! Qu’en est-il lors de la navigation en mode privé ?

Il semble que la navigation en mode privée ne tienne pas compte de ce fichier car après une première navigation sur un site en https avec le HSTS toute tentative ultérieure d’accès à la version http se verra bloquee. Ça ne semble cependant pas être le cas lorsqu’on tente avec la navigation privée.

tiens tiens tiens..celle là j’avais pas vu merci

Il y a un signalement de bogue là dessus (1 an déjà):

https://bugzilla.mozilla.org/show_bug.cgi?id=1230559

Et cet article : http://www.radicalresearch.co.uk/lab/hstssupercookies

@Cloug et @Buzut

En navigation privée, le fichier ne s’alimente plus.

Laisser un commentaire

(requis)

(requis)