web-dev-qa-db-ja.com

シークレットモードでのHSTSの動作

当然のことながら、シークレットモードでは、アクセスしたWebサイトの痕跡が残ることはありません。

ただし、HSTS(HTTP Strict Transport Security)では、ブラウザがHSTSを要求したホストのデータベースを保持し、後続の要求に対してHSTSを尊重する必要があります。

これにより競合が発生し、競合を解決するには2つの方法があります。

  1. ブラウザは、シークレットセッション外でブラウジングする場合でも、シークレットセッション内で行われたHSTS要求を常に受け​​入れます。

  2. ブラウザは、シークレットセッション内で行われたHSTSリクエストを、そのセッションのみに受け入れます。

それらのうちどれが人気のあるブラウザに実装されていますか?

さらに、コメントで説明されているように、シークレットセッション外のHSTSリクエストはシークレットセッション内のリクエストに影響しますか?

12
HRJ

Firefoxでは、Firefox 34以降、HSTSセットは通常のブラウジングモードとプライベートブラウジングモードの間で共有されません。

Internet Explorer(11) HSTSをサポートしていません

ChromiumとOperaでは、HSTSセットは各閲覧プロファイル(通常およびシークレット)で一意です。これは、chrome://net-internals/#hstsにアクセスして簡単に確認できます。

  1. 新しいChromeセッションを開始して、Windowsのchrome.exe --user-data-dir=%TMP%\whateverなどのクリーンな状態を取得します。
  2. chrome://net-internals/#hstsにアクセスし、検索ボックスに「addons.mozilla.org」などのHSTSを使用するドメインを入力して、[クエリ]を押します。ドメインは報告されません。
  3. シークレットウィンドウを開き、addons.mozilla.orgにアクセスします。手順2を再試行し、結果がまだ空であることを確認します。
  4. シークレットウィンドウで手順2を繰り返し、クエリが結果を生成することを確認します。
  5. 前の手順は、HSTSが通常からシークレットモードにリークしないことを示しています。最初からやり直しますが、最後の手順を交換して、その逆も当てはまることを確認します。HSTSは通常のブラウジングモードからシークレットモードにリークしません。
3
Rob W

fiddlerを使用し、HSTSを有効にしてサイトにアクセスする

以前に非シークレットで設定されている場合、シークレットでHSTSを尊重します(つまり、すぐにHTTPSにトンネルし、HTTP URLを要求しません)

  • クロム:はい
  • Firefox:はい
  • IE 11:HSTSを尊重していないようです

以前にシークレットモードでのみアクセスしたサイトの場合、シークレットモードでHSTSを尊重します(つまり、すぐにHTTPSにトンネルし、HTTP URLを要求しません)。

  • クロム:いいえ
  • Firefox:いいえ
  • IE 11:HSTSを尊重していないようです

IEはIE 12- http://www.cso.com.au/article/542244/ Microsoft_confirms_http_strict_transport_security_ie_12 /

3
bkr