He publicado más detalles sobre esto en una publicación de blog en https://browserprivacy.wordpress.com/2013/10/26/does-safari-on-os-x-mavericks-ignore-browsing-history-preferences/
pero este extracto es la esencia de mi pregunta:
Para verificar que Safari realmente eliminó mis cookies como sugiere la GUI, a veces reviso mi carpeta ~/Library/Cookies donde Safari y otras aplicaciones almacenan cookies en archivos con nombres como com.apple.appstore.cookies, Cookies.binarycookies y un archivo que nunca antes había visto llamado HSTS.plist. Una búsqueda rápida en Google reveló muy poco relacionado con este archivo HSTS.plist en particular, pero HSTS puede significar HTTP Strict Transport Security, un estándar web que permite a los servidores web obligar a los navegadores a interactuar con él usando solo conexiones HTTPS. Me sorprendió ver mi historial de navegación anterior (como en el anterior a Mavericks) compuesto por más de 100 sitios que había visitado en los últimos meses enumerados en este archivo ~/Library/Cookies/HSTS.plist.
Estructura HSTS.plist
Abrir mi archivo ~/Library/Cookies/HSTS.plist en TextWrangler reveló la siguiente estructura:
<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”>
<plist version=”1.0″>
<dict>
<key>com.apple.CFNetwork.defaultStorageSession</key>
<dict>
<key>HSTS Content Version</key>
<integer>1</integer>
<key>HSTS Store Schema Version</key>
<integer>2</integer>
<key>accounts.google.com</key>
<real>-infinity</real>
<… and so on, with “real” values of either infinity or -infinity ..>
</dict>
<key>hstsd Disk Storage Schema Version</key>
<integer>1</integer>
</dict>
</plist>
Quizás extrañamente, tampoco encontré resultados de búsqueda cuando busqué en Google "versión de esquema de almacenamiento en disco hstsd".
Este archivo ~/Library/Cookies/HSTS.plist contenía un historial de navegación que aparentemente no tenía forma de eliminar de forma permanente y que podría usarse como huella digital para el seguimiento (si se puede acceder a través de WebKit) por parte de Apple u otros. Otra cosa que me sorprendió fue que este archivo persistió en el sentido de que el archivo HSTS.plist y su contenido original fueron reemplazados en unos pocos minutos, tal vez a través de la sincronización de iCloud... aunque esta máquina no tenía iCloud ni ninguna "Cuenta de Internet" habilitada. —incluso después de varias iteraciones de deshabilitar todos los complementos, "Restablecer Safari...", activar y desactivar "Navegación privada" y reiniciar la máquina, además de todo lo siguiente:
Usando fseventer, pude ver que este archivo HSTS.plist (y el historial de navegación que contenía) se reaparecía cada vez que abría Safari y alternaba el modo de navegación privada. Al menos en esta máquina, HSTS.plist nunca vuelve a generarse a menos que esté conectado a Internet.
Esto me deja desconcertado, por lo que agradecería cualquier reacción o respuesta que pueda tener en los comentarios. ¿Podría ser: - malware? Esto parece menos probable, ya que un escaneo del disco duro en modo seguro con clamXav resultó limpio. - ¿Un artefacto de una configuración no estándar anterior? Tal vez este comportamiento esté relacionado de alguna manera con algo como Safari Mobile Bookmarks Sync (que había deshabilitado), o algún tipo de problema de actualización asociado con la actualización de una copia completamente parcheada de OS X Mountain Lion 10.8.5 a OS X Mavericks 10.9 unos días. ¿previo? - ¿un nuevo vector potencial similar a una cookie que Apple y/o los anunciantes podrían usar para tomar huellas dactilares de los usuarios a través de una instantánea de su historial de navegación HTTPS, incluso cuando se usa el modo de navegación privada de Safari? Esto sería un ultraje. - ¿una nueva "característica" asociada con la implementación de HSTS de Safari? Dadas las posibles implicaciones de privacidad, esto también sería un ultraje.
Aparte de borrar completamente la máquina y reinstalar todo desde cero, no estoy seguro de qué hacer para quitar este artefacto del historial de navegación antiguo de mi máquina. Incluso si ~/Library/Cookies/HSTS.plist es solo un simple caché de los sitios web visitados habilitados para HSTS, es altamente indeseable porque filtra el historial de navegación, incluso en el modo de navegación privada, e incluso a través del historial y caché accesibles por GUI. funciones de borrado, y parece ser un vector potencial altamente persistente para los usuarios de huellas dactilares.
¿No es solo una lista de sitios que se sabe que solicitan solo https? el mío es: hay dominios que nunca he visitado, y la lista es similar a la sección "// Forzar HTTPS para los sitios que lo han solicitado" de http://pastebin.com/WQijpvR4
Privacidad del navegador
Privacidad del navegador
Privacidad del navegador