Комментарии 5
Мне иногда кажется, что в наше время чтобы скрыться от всех больших братьев уже и смерть не выход.
Очень часто для посещения HTTPS-сайтов использую приватный режим, чтобы браузер не запоминал заголовок HSTS, всё-таки не зря!
Мне кажется, надо пояснить, как именно происходит считывание метки.
При загрузке страницы осуществляется 32 запроса средствами JS на предварительно настроенные поддомены по протоколу HTTP. Те поддомены, для которых установлен флаг HSTS, запрашиваются через HTTPS.
Указанные поддомены возвращают ответ
и
После чего средствами JS происходит окончательная сборка метки.
При загрузке страницы осуществляется 32 запроса средствами JS на предварительно настроенные поддомены по протоколу HTTP. Те поддомены, для которых установлен флаг HSTS, запрашиваются через HTTPS.
Указанные поддомены возвращают ответ
window['hsts']._['1'](false);
и
window['hsts']._['1'](true);
После чего средствами JS происходит окончательная сборка метки.
После картинки стало понятнее, но остался вопрос. В статье говорится о:
Но на деле сайт сам должен сообщить, через какой протокол он загрузился, т.е.
Получается всё таки не с любого, а только со своих.
При этом читать HSTS Super Cookies можно с любого доменного имени.
Но на деле сайт сам должен сообщить, через какой протокол он загрузился, т.е.
window['hsts']._['1'](false);
window['hsts']._['1'](true);
Получается всё таки не с любого, а только со своих.
Видимо, имелось в виду, что соблюдение same origin policy необязательно. Т.е. я со своего сайта vasyapupkin.com точно так же смогу прочитать вашу HSTS-метку, обратившись к оригинальному сайту через
<script src="http://b-hsts-lab.radicalresearch.co.uk/hsts/get?cb=window['hsts']._['c']">Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Суперкуки HSTS для слежки за пользователями