Topic: File SiteSecurityServiceState.txt sospetto nel profilo: è davvero pericoloso?

[p060477]

Che mi dite del file SiteSecurityServiceState.txt presente nella cartella del profilo del browser?

Questo supercookie è effettivamente pericoloso?

Conviene cancellarne il contenuto è impostare il file in modalità "sola lettura" come viene suggerito in rete?
http://www.ghacks.net/2015/10/16/how-to-prevent-hsts-tracking-in-firefox/

edit by miki64: ho reso il titolo più dettagliato.

[Iceberg]

Avevo scritto qualcosa in merito tempo addietro, non ritrovo il messaggio però mi ero salvato il testo.

Viene creato nella cartella del profilo e in pratica vi appare la cronologia dei siti https che hai visitato.
Cancellando la cronologia ovviamente non si cancella.
Si cancella solo eliminando le preferenze dei siti web. Per eliminare questa cronologia vanno eliminate tutte le preferenze dei siti e le eccezioni.
Sembra che in navigazione anonima non venga aggiornata questa "cronologia".

Conviene cancellarne il contenuto è impostare il file in modalità "sola lettura"?

Fai come meglio credi.
Personalmente quel file mi stava antipatico, l'ho svuotato e impostato in sola lettura.

[deckard]

Io ho trovato una discussione in MozillaZine in cui si parla di codesto file.
Se ne parla anche in NakedSecurity.
Il problema è correlato alla procedura HTTP Strict Transport Security o HSTS (in italiano sicurezza rigida per il trasporto di HTTP), procedura che implementa una politica di sicurezza per le comunicazioni web, necessaria a proteggere il canale HTTPS da attacchi di degrado della sicurezza (downgrade) e assai utile per la protezione dai dirottamenti di sessione. HSTS permette al server web di dichiarare che i browser e ogni altro tipo di client debbano comunicare con esso esclusivamente attraverso connessioni sicure su protocollo HTTPS e non sul semplice HTTP.
[Almeno nelle intenzioni dovrebbe essere una cosa positiva, ma ogni soluzione genera nuovi problemi. Settimo corollario alla legge di Murphy.]
C'è un bug aperto in BugZilla, per la cronaca.

EDIT: ho trovato un aricolo abbastanza interessante su Reddit: https://www.reddit.com/r/firefox/comments/32v9sr/privacy_how_to_prevent_hsts_tracking/
Nei commenti si fa riferimento a un servizio della EFF per verificare il livello di tracciabilità del proprio Browser.
https://panopticlick.eff.org/
Documento con maggiori spiegazioni: https://panopticlick.eff.org/browser-uniqueness.pdf

[Iceberg]

Leggo che anche patrickjdempsey dà lo stesso consiglio:

Delete the file, create a new one with the same name then set it to read-only.

Il bug è lì da quattro anni e soluzione non è stata intrapresa. Nell'ultimo messaggio si stimola a darsi finalmente da fare.

[Ronnie91]

Un articolo in italiano di questi giorni: http://www.ilsoftware.it/articoli.asp?tag=Spiare-siti-visitati-HSTS-lo-rende-piu-semplice_12948

[p060477]

Grazie a tutti!

credo proprio che adottero' la soluzione scritta da Iceberg

[miki64]

Una cosa ovvia che però potrebbe sfuggire:
se siete soliti scambiare i vostri file di backup tra il vostro profilo in Linux e quello in Windows, ricordate che però per il primo non è sufficiente "importare" il file SiteSecurityServiceState.txt in sola lettura.
Occorre, per una questione di permessi in Linux, fare clic destro sul file importato da Windows e dalle "Proprietà", nella scheda "Permessi", alla prima voce occorre togliere "Può scrivere" e mettere  "Può leggere" (o simile, cambia da distribuzione a distribuzione).