那些遇到过的问题

“HTTPS Everywhere”仍然相关吗?

fix*_*234 104 security browser https

HTTPS Everywhere是一个浏览器扩展,是 Tor 项目和电子前沿基金会之间的合作,它可以自动将 HTTP URL 请求重写为安全的 HTTPS 替代方案(如果可用)。它显然已经存在了大约十年,但直到最近有人问起它才引起我的注意。试图对其进行研究产生了各种各样的信息。

  1. 无论需要如何,都不清楚它“开箱即用”有多大用处。各种文章都提到需要用白名单和规则补充默认值以获得全部好处。因此,实施它似乎不是一项微不足道的任务。

  2. 至少曾经有相当一部分网站仅支持 HTTP,因此使用此类软件只能提供有限的好处。处理敏感个人数据的网站似乎已几乎转向仅使用 HTTPS。Google 采取了各种措施来激励网站转换为 HTTPS。目前尚不清楚 HTTP 仍然存在多大问题(或者如果仍然存在,问题是否正在迅速消失)。

    也不清楚转换为 HTTPS 的站点是否只为旧访问者保留 HTTP 链接,并自动重定向到他们的 HTTPS 站点。

  3. 主要浏览器似乎都已合并逻辑以在可用时更喜欢 HTTPS 站点,或者正在实施它。至少谷歌(还没有看到其他搜索引擎的任何信息)有一个同名的程序(不清楚它是否实际上是同一个产品),可以在搜索时自动尝试 HTTPS 连接。

  4. 三年前,有一些关于“为什么你需要在任何地方安装 HTTPS”的文章。最近的一些文章建议人们停止建议人们安装此软件。要点似乎与已经复制功能的浏览器有关。

因此,尚不清楚 HTTP 是否仍然是需要解决方案的实质性问题,如果是,那么首先尝试 HTTPS 链接的软件是否可以解决剩下的问题。这整个问题是否已被事件超越?

我正在寻找上下文而不是意见(即,描述当前情况的事实,而不是关于它的好坏或我是否需要该软件的意见)。例如,现在主要的浏览器是否提供了 HTTPS Everywhere 开发的补救措施?HTTP 现在实际上仅限于没有个人数据的站点吗?是否有政府或行业法规旨在使这不是问题?换句话说,这些客观信息将使我(和其他人)能够了解当前的事态,从而形成我自己的观点并确定与我自己的相关性。

Bof*_*ain 79

在混合内容和半心半意的网站配置的时代,HTTPS Everywhere 肯定曾经更加必要。现在的网络肯定更加成熟,像HSTS这样的技术可以被任何网站使用,并且为更大的玩家固定公钥(现在已弃用证书透明- 感谢 Justin 通知我)。

因此,扩展是否有用在很大程度上取决于您的个人用例。为同时提供 HTTP 和 HTTPS 服务的网站制定自定义规则是该扩展程序擅长的事情,我不知道还有其他人在做类似的工作。即使在网站不支持 HTTPS 的情况下,该扩展程序也将确保对第三方域(如 CDN)的任何引用都将升级到 HTTPS,即使原始引用是协议中立的。

  • @fixer1234 Brave(一个基于 Chromium 的隐私浏览器,甚至可以使用 Chrome 扩展)确实内置了这个功能。如果它的计数器是正确的,那么它肯定已经将我的很多连接升级到 HTTPS,这对我来说似乎很有用,无论您是通过内置功能还是扩展获得它。我同意这个答案的看法:事情的状态比以前好得多,但错误仍然会发生,较小的网站很难把事情做好,所以只要默认协议不安全,它就永远不会“治愈”。 (6认同)
  • @LTPCGO 让任何人通过执行 MITM 将任何 javascript 注入您的“安全”页面是**一切错误的**。 (5认同)
  • 请注意,HTTP 公钥固定已于 2018 年弃用,并由 [证书透明度](https://en.wikipedia.org/wiki/Certificate_Transparency) 取代 (4认同)
  • 是的,确实如此,因为扩展的域列表大于浏览器附带的固定密钥列表。不过,我仍然不确定为什么网站不使用 HSTS,因为仅支持 SSL 等的旧设备无论如何都不会关心该标头。 (3认同)

小智 13

作为 HTTPS Everywhere 之前的规则集贡献者,我有以下几点要提供。

  • HTTPS Everywhere 项目会定期测试其所有重写规则,并禁用因任何原因失败的规则。这可确保对不断变化的网站配置做出相对快速的响应,但可能导致大部分规则集被禁用,除非花费大量维护工作。建议补充中央规则集的主要原因是不知道这些中央规则集可以而且应该被纠正。这是一个志愿者的可用性问题。

  • 在将 Web 迁移到仅使用 HTTPS 方面取得了重大进展,但许多站点仍然配置错误,还有更多站点没有实施防止首次连接攻击所需的关键 HSTS 预加载保护。此后不久,实施此保护的站点将从 HTTPS Everywhere 的规则集中删除。

  • Web 浏览器技术非常有用,但它们所做的任何超出 HSTS 预加载列表的事情都非常有用。HTTPS Everywhere 为尚未通过浏览器启用 HSTS 且本质上需要自定义社区维护 HSTS 配置的站点提供权宜之计。

总之,保持安装没有坏处。再忍受几年,希望这一切都将变得多余。

Alp*_*haD 9

虽然提高对 HTTPS 和 HSTS 的认识肯定会带来安全标准,但仍然可以使用 HTTPS Everywhere 扩展:

HSTS 非常擅长防止 HTTP 降级攻击,但需要注意的一点是它基于首次使用模型的信任。这意味着您与站点的第一次连接必须通过 HTTPS 进行,否则 HSTS 保护可能会受到损害(例如,HTTP 到 HTTPS 301 重定向是攻击机会的窗口)。

HSTS 通常使用 HTST 预加载列表来防止这种情况,这是一个内置于浏览器的域列表,它强制第一个连接对这些站点仅使用 HTTPS。然而,进入列表(并等待在浏览器中应用更改)需要一些时间,并不是每个站点都费心注册自己。这是浏览器扩展通过确保所有首次连接仅通过 HTTPS 来提供帮助的地方。

另一个较小的情况是网站的 HTTPS 位于与通常不同的路径上。例如,一个网站可能拥有http://www.example而其安全站点位于https://secure.example。HTTPS Everywhere 保留了一个域数据库,以确保您访问 HTTPS 的正确 URL。

脚注:公钥固定也有帮助,但即使是 Chrome 也决定将其删除,因为采用率较低,而且有可能成为枪手。

  • @Jonathan 在小型或业余爱好者网站上使用这种东西通常比在广泛使用的大型网站上更容易。https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/ 内容丰富。 (3认同)
  • @Jonathan 对于具有大量主机名和子域的域来说,一个大问题是预加载功能需要启用 `includeSubdomains`。在 www 子域上启用 HSTS 通常很容易,但突然在任何地方启用它是有风险的,尤其是因为它是不可逆转的。对许多企业而言,制作清单并启用 HTTPS 的每项服务都无法返回,这是一项艰巨的工作。 (2认同)

Qwe*_*tie 8

我注意到仍然有几个网站支持 https,但不会将 http 流量重定向到 https。然而,扩展并不像以前那样有用。几年前,youtube、wikipedia 和 reddit 等网站都支持 https,但默认为 http。HTTPS 无处不在解决了这个问题,并且仍在解决少数仍然默认为 http 但支持 https 的网站的问题。

归档时间:

查看次数:

27481 次

最近记录:

4 年,1 月 前
相关归档
修复 Heartbleed 时如何使用 Internet? 119
Chrome 向所有请求添加了奇怪的 HTTPS:1 标头 20
如何配置 linux 以强制新用户在首次登录时更改密码 11
是否有功能强大但轻量级的类似 vim 的以键盘为中心的 Web 浏览器(适用于 Linux)? 10
Dropbox 造成的安全威胁? 7
当我使用 VPN 时,在 HTTP 网页上注册是否安全? 7
直接在浏览器中打开 .eml 文件,无需重命名 6
Win10 - 记得以特定用户身份执行 5
我的 Mac 试图连接到一个可能的入侵者的机器,它不再在网络中 4
病毒感染后无法在任何浏览器上下载 0
难疑归档
如何在我的双显示器上获得不同的背景图像? 261
IBM PC 3270 键盘上“神秘键”的用途 230
32 位与 64 位系统 228
如何连接到只有 IPv6 地址没有域名的网站? 201
鉴于PNG具有压缩参数,它如何无损? 164
如何从 Linux 环境中获取嵌入式 Windows 8+ 密钥? 137
Windows 资源监视器中的“最大频率”数字是什么意思? 128
如何从命令行通过FTP上传一个文件? 128
如何找出正在运行的程序的命令行参数? 108
GnuPG 1 和 GnuPG 2 是否相互兼容? 101