Hallo Leander,

Eine mögliche Lösung wäre der Einsatz eines Browsers, der kein HSTS beherrscht oder bei dem du es abschalten kannst.

Leider ist Google nicht sehr hilfreich bei der Suche nach "Browser, der kein HSTS beherrscht" (Den IE kannst Du nicht ernsthaft meinen).

So wie ich das bei caniuse sehe, gibt es keinen modernen Browser, der HSTS nicht unterstützt. Suche mal nach „proxy hsts“ oder „disable hsts“, dann findest du Seiten wie Stackexchange, ausprobieren musst du es.

Welchen meinst Du denn?

Das war rein hypothetisch. Ein anderer Ansatz wäre, den Browser nur über den Proxy zu betreiben und die Preload-HSTS-Liste irgendwie rauszuwerfen (k. A. wie das geht).

Außerdem erscheint mir das ein seltsamer Ratschlag zu sein.

Mir scheint dein Vorhaben seltsam zu sein. Gegen Tracker gibt es Addons wie PrivacyBadger.

Wenn die Seiten in einem Browser korrekt angezeigt werden, der kein HSTS beherrscht, was wäre dann der Sinn desselben?

Du verstehst HSTS immer noch nicht. Bitte informiere dich.

Bei HSTS teilt der Server dem Client über eine verschlüsselte Verbindung (und nur dann!) mit, dass er für die Zeitdauer X nur verschlüsselt kommunizieren will. Wird während dieser Zeitdauer von HTTPS auf HTTP umgeleitet (z. B. weil im Café-WLAN ein Man-in-the-Middle-Angriff läuft), gibt der Browser dann die von dir genannte Fehlermeldung aus. Es gibt auch eine Liste mit Websites, die nur verschlüsselt erreichbar sind, die von vielen Browser bereits integriert wurde. Dieses Vorgehen sorgt dafür, dass MitM-Angriffe bereits beim ersten Aufruf der Website scheitern, während bei herkömmlichen HSTS der erste Zugriff eines Clients auf die Seite „sauber“ sein muss, damit HSTS funktioniert.

Browser, die HSTS nicht beherrschen, ignorieren diese Angabe einfach und profitieren damit nicht vom Sicherheitsgewinn. Auf die „Darstellung“ einer Seite hat das keinerlei Einfluss.

Außer, mich auszuhorchen

Das ist leider ein Nebeneffekt, macht aber HSTS nicht wertlos. Außerdem müsstest du JavaScript deaktivieren, um Browser-Fingerprinting zu verhindern, das macht wohl kaum jemand.

und zu unterbinden, daß ich Werbung schon im Quelltext unterbinde?

HSTS verhindert das Ändern von Daten während des Transports. AdBlock und Konsorten setzen erst im Browser an und werden davon nicht beeinflusst.

Proxies sind nicht die einzigen „Opfer“ von HSTS, auch die in vielen öffentlichen WLANs eingesetzten Captive-Portals werden mit zunehmender Verbreitung von HSTS irgendwann nicht mehr funktionieren.

Das Problem ist nun mal, dass Browser nicht zuverlässig zwischen legitimen und nicht legitimen Proxies bzw. Änderungen an den übertragenen Daten unterscheiden kann. HSTS ist eine Lösung dafür, die zwar für einigen wenigen Anwendern Probleme bringt, aber dafür 99% der Anwender Probleme durch Phishing, Identitätsdiebstahl und Zensur erspart.

Gruß
Julius