¿Safari en OS X Mavericks ignora las preferencias del historial de navegación?

He publicado más detalles sobre esto en una publicación de blog en https://browserprivacy.wordpress.com/2013/10/26/does-safari-on-os-x-mavericks-ignore-browsing-history-preferences/

pero este extracto es la esencia de mi pregunta:

Para verificar que Safari realmente eliminó mis cookies como sugiere la GUI, a veces reviso mi carpeta ~/Library/Cookies donde Safari y otras aplicaciones almacenan cookies en archivos con nombres como com.apple.appstore.cookies, Cookies.binarycookies y un archivo que nunca antes había visto llamado HSTS.plist. Una búsqueda rápida en Google reveló muy poco relacionado con este archivo HSTS.plist en particular, pero HSTS puede significar HTTP Strict Transport Security, un estándar web que permite a los servidores web obligar a los navegadores a interactuar con él usando solo conexiones HTTPS. Me sorprendió ver mi historial de navegación anterior (como en el anterior a Mavericks) compuesto por más de 100 sitios que había visitado en los últimos meses enumerados en este archivo ~/Library/Cookies/HSTS.plist.



Estructura HSTS.plist

Abrir mi archivo ~/Library/Cookies/HSTS.plist en TextWrangler reveló la siguiente estructura:

<?xml version=”1.0″ encoding=”UTF-8″?>
<!DOCTYPE plist PUBLIC “-//Apple//DTD PLIST 1.0//EN” “http://www.apple.com/DTDs/PropertyList-1.0.dtd”&gt;
<plist version=”1.0″>
<dict>
<key>com.apple.CFNetwork.defaultStorageSession</key>
<dict>
<key>HSTS Content Version</key>
<integer>1</integer>
<key>HSTS Store Schema Version</key>
<integer>2</integer>
<key>accounts.google.com</key>
<real>-infinity</real>

 <… and so on, with “real” values of either infinity or -infinity ..>

</dict>
<key>hstsd Disk Storage Schema Version</key>
<integer>1</integer>
</dict>
</plist>

Quizás extrañamente, tampoco encontré resultados de búsqueda cuando busqué en Google "versión de esquema de almacenamiento en disco hstsd".

Este archivo ~/Library/Cookies/HSTS.plist contenía un historial de navegación que aparentemente no tenía forma de eliminar de forma permanente y que podría usarse como huella digital para el seguimiento (si se puede acceder a través de WebKit) por parte de Apple u otros. Otra cosa que me sorprendió fue que este archivo persistió en el sentido de que el archivo HSTS.plist y su contenido original fueron reemplazados en unos pocos minutos, tal vez a través de la sincronización de iCloud... aunque esta máquina no tenía iCloud ni ninguna "Cuenta de Internet" habilitada. —incluso después de varias iteraciones de deshabilitar todos los complementos, "Restablecer Safari...", activar y desactivar "Navegación privada" y reiniciar la máquina, además de todo lo siguiente:

  • Cerrar Safari y otras aplicaciones, eliminar el archivo HSTS.plist, reiniciar
  • Cerrar Safari y otras aplicaciones, eliminar el archivo HSTS.plist regenerado, guardar un archivo de texto en blanco en ~/Library/Cookies/HSTS.plist, hacer que sus permisos sean de solo lectura y yo propietario, y luego reiniciar
  • Iniciar sesión con la cuenta de otro usuario (con derechos de administrador), eliminar el archivo HSTS.plist y reiniciar
  • Iniciar sesión con la cuenta de otro usuario (con derechos de administrador), eliminar el archivo HSTS.plist, guardar un archivo en blanco con el mismo nombre de archivo en la ubicación de ese archivo, establecer su permiso de solo lectura con otro usuario como propietario y luego reiniciar

Usando fseventer, pude ver que este archivo HSTS.plist (y el historial de navegación que contenía) se reaparecía cada vez que abría Safari y alternaba el modo de navegación privada. Al menos en esta máquina, HSTS.plist nunca vuelve a generarse a menos que esté conectado a Internet.

Esto me deja desconcertado, por lo que agradecería cualquier reacción o respuesta que pueda tener en los comentarios. ¿Podría ser: - malware? Esto parece menos probable, ya que un escaneo del disco duro en modo seguro con clamXav resultó limpio. - ¿Un artefacto de una configuración no estándar anterior? Tal vez este comportamiento esté relacionado de alguna manera con algo como Safari Mobile Bookmarks Sync (que había deshabilitado), o algún tipo de problema de actualización asociado con la actualización de una copia completamente parcheada de OS X Mountain Lion 10.8.5 a OS X Mavericks 10.9 unos días. ¿previo? - ¿un nuevo vector potencial similar a una cookie que Apple y/o los anunciantes podrían usar para tomar huellas dactilares de los usuarios a través de una instantánea de su historial de navegación HTTPS, incluso cuando se usa el modo de navegación privada de Safari? Esto sería un ultraje. - ¿una nueva "característica" asociada con la implementación de HSTS de Safari? Dadas las posibles implicaciones de privacidad, esto también sería un ultraje.

Aparte de borrar completamente la máquina y reinstalar todo desde cero, no estoy seguro de qué hacer para quitar este artefacto del historial de navegación antiguo de mi máquina. Incluso si ~/Library/Cookies/HSTS.plist es solo un simple caché de los sitios web visitados habilitados para HSTS, es altamente indeseable porque filtra el historial de navegación, incluso en el modo de navegación privada, e incluso a través del historial y caché accesibles por GUI. funciones de borrado, y parece ser un vector potencial altamente persistente para los usuarios de huellas dactilares.

Respuestas (1)

¿No es solo una lista de sitios que se sabe que solicitan solo https? el mío es: hay dominios que nunca he visitado, y la lista es similar a la sección "// Forzar HTTPS para los sitios que lo han solicitado" de http://pastebin.com/WQijpvR4

Gracias por el comentario. En mi caso, los dominios en el archivo ~/Library/Cookies/HSTS.plist son sitios que solo solicitan https, pero todos son sitios que he visitado en el pasado. Y, en general, es más probable que los sitios que solo solicitan HTTPS obtengan/mantengan información de identificación personal sobre los usuarios. En cualquier caso, lo que parece ser la implementación de HSTS de OSX Mavericks deja mucho que desear.
En caso de que no quedara claro en mi publicación original (consulte el blog para obtener una explicación más completa), mis preocupaciones con este comportamiento de Mavericks fueron las siguientes: 1. Incluso después de hacer todo lo posible para mantener privado mi historial de navegación, los usuarios parecen estar no se puede eliminar nada del historial de navegación contenido en el archivo HSTS.plist. Entonces, si tuviera que visitar sitios confidenciales, incluso en el modo de navegación privada, parece que no hay forma de borrar la captura de ese historial de navegación, que parece estar en conflicto tanto con la letra como con el espíritu de las preferencias relevantes de Safari, según entendí. a ellos.
..y 2. Que para muchos usuarios, el historial de navegación HTTPS en este archivo puede ser confidencial e identificativo. No he seguido rastreando esto, pero incluso puede darse el caso de que a través de un "error" en las preferencias de sincronización de Safari de ciertos usuarios, etc., Apple misma conserve esta información en sus servidores y que el comportamiento de reaparición He notado que ~/Library/Cookies/HSTS.plist es el archivo o su contenido que se descarga de Apple. Para muchos usuarios, esto no es deseado y es un problema de privacidad potencialmente significativo. Pero para ser claros, aún no he determinado si ese es el caso.
¿Safari en OS X Mavericks ignora las preferencias del historial de navegación?
RespuestasAquíPolítica de privacidad1y, 0v