Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску

HTTPS везде
HTTPS Everywhere icon.svg
Разработчики)Фонд Electronic Frontier и проект Tor
Стабильный выпуск
2021.1.27 / 27 января 2021 г . ; 2 месяца назад [1] [2] ( 2021-01-27 )
Репозиторий
Отредактируйте это в Викиданных
Написано вJavaScript , Python
ПлатформаFirefox для Android
Google Chrome
Mozilla Firefox
Opera
Vivaldi
Microsoft Edge
ТипРасширение браузера
ЛицензияGNU GPL v3 + (большая часть кода совместима с v2) [3]
Веб-сайтwww .eff .org / https-везде
По состоянию наАпрель 2014 г.

HTTPS Everywhere - это бесплатное расширение с открытым исходным кодом для браузера Google Chrome , Microsoft Edge , Mozilla Firefox , Opera , Brave , Vivaldi и Firefox для Android , которое совместно разрабатывается The Tor Project и Electronic Frontier Foundation (EFF). [4] Он автоматически заставляет веб-сайты использовать более безопасное соединение HTTPS вместо HTTP , если они его поддерживают. [5]Параметр «Зашифровать все подходящие сайты» позволяет блокировать и разблокировать все соединения браузера без HTTPS одним щелчком мыши. [6]

Развитие [ править ]

HTTPS Everywhere был вдохновлен более широким использованием HTTPS в Google [7] и предназначен для автоматического принудительного использования HTTPS, когда это возможно. [8] Код, в частности, основывается на NoScript «s HTTP Strict Transport Security реализации, но HTTPS Everywhere предназначено быть проще в использовании , чем силы NoScript по HTTPS функциональности , которая требует от пользователя вручную добавлять сайты в список. [4] EFF предоставляет пользователям информацию о том, как добавлять наборы правил HTTPS к HTTPS Everywhere, [9] и информацию о том, какие веб-сайты поддерживают HTTPS. [10]

Поддержка платформы [ править ]

Публичная бета по HTTPS Everywhere для Firefox был выпущен в 2010 году, [11] и версия 1.0 была выпущена в 2011 [12] бета для Chrome был выпущен в феврале 2012 года [13] В 2014 году была выпущена версия для Android телефонов . [14]

Обсерватория SSL [ править ]

SSL Observatory - это функция HTTPS Everywhere, представленная в версии 2.0.1 [13], которая анализирует сертификаты открытых ключей, чтобы определить , были ли скомпрометированы центры сертификации [15] и уязвим ли пользователь для атак типа «злоумышленник в середине». . [16] В 2013 году Консультативный комитет ICANN по безопасности и стабильности (SSAC) отметил, что набор данныхИспользуемая Обсерваторией SSL часто рассматривает промежуточные органы как разные объекты, таким образом увеличивая количество центров сертификации. SSAC раскритиковал SSL Observatory за потенциально значительно заниженный учет внутренних именных сертификатов и отметил, что он использовал набор данных с 2010 года [17].

Постоянное обновление набора правил [ править ]

Обновление до версии 2018.4.3, выпущенное 3 апреля 2018 г., представляет функцию «Постоянное обновление набора правил». [18] Для применения актуальных https-правил эта функция обновления выполняет одно сопоставление правил в течение 24 часов. Для этой цели EFF создал веб-сайт под названием https-rulesets . Эту функцию автоматического обновления можно отключить в настройках надстройки. До механизма обновления наборы правил обновлялись только через обновления приложений. Даже после того, как эта функция была реализована, все еще поставляются связанные наборы правил в составе обновлений приложений.

Прием [ править ]

Два исследования рекомендовали встроить функциональность HTTPS Everywhere в браузеры Android. [19] [20] В 2012 году Эрик Феттплейс описал его как «возможно, лучший ответ на атаки в стиле Firesheep, доступные для любой платформы». [21] В 2011 году Винсент Тубиана и Винсент Вердо указали на некоторые недостатки надстройки HTTPS Everywhere, в том числе на то, что список служб, поддерживающих HTTPS, необходимо поддерживать, и что некоторые службы перенаправляются на HTTPS, хотя они еще не доступны. в HTTPS, не позволяя пользователю расширения попасть в сервис. [22]Другая критика заключается в том, что пользователи могут быть введены в заблуждение, полагая, что если HTTPS Everywhere не переключает сайт на HTTPS, это потому, что у него нет версии HTTPS, хотя может быть, что менеджер сайта не отправил набор правил HTTPS в EFF. , [23] и что, поскольку расширение отправляет информацию о сайтах, которые пользователь посещает, в Обсерваторию SSL, это может быть использовано для отслеживания пользователя. [23]

Наследие [ править ]

Инициатива HTTPS Everywhere вдохновила альтернативные варианты шифрования :

  • 2020: Firefox встроен в режим только HTTPS. [24] [25]
  • 2019: HTTPZ [26] для браузеров, поддерживающих Firefox / WebExt .
  • 2017: Smart-HTTPS (с закрытым исходным кодом, начиная с версии 0.2 [27] ),

См. Также [ править ]

  • Brave - браузер с открытым исходным кодом, который повсюду интегрирует HTTPS.
  • Безопасность транспортного уровня (TLS) - криптографические протоколы, обеспечивающие безопасность связи в компьютерной сети.
  • Privacy Badger - бесплатное расширение для браузера, созданное EFF, которое блокирует рекламу и отслеживающие файлы cookie .
  • Швейцария (программное обеспечение) - Утилита мониторинга сети с открытым исходным кодом, разработанная EFF для мониторинга сетевого трафика.
  • Let's Encrypt - бесплатный автоматизированный центр сертификации X.509, предназначенный для упрощения настройки и обслуживания безопасных веб-сайтов с шифрованием TLS.
  • HTTP Strict Transport Security - механизм политики веб-безопасности, который помогает защитить веб-сайты от атак, связанных с переходом на более раннюю версию протокола и захватом файлов cookie .

Ссылки [ править ]

  1. ^ "Changelog.txt" . Electronic Frontier Foundation . Проверено 27 июня 2019 .
  2. ^ "Релизы · EFForg / https-везде" . GitHub . Проверено 16 июня 2018 .
  3. ^ HTTPS Everywhere Development Electronic Frontier Foundation
  4. ^ a b «HTTPS везде» . Electronic Frontier Foundation . Проверено 14 апреля 2014 года .
  5. ^ «HTTPS Everywhere достигает 2.0, в Chrome появилась бета-версия» . H-online.com . 29 февраля 2012 . Проверено 14 апреля 2014 года .
  6. ^ " HTTPS Everywhere Changelog" .
  7. ^ «Автоматическое веб-шифрование (почти) везде - The H Open Source: Новости и особенности» . H-online.com . 18 июня 2010. Архивировано из оригинала 23 июня 2010 . Проверено 15 апреля 2014 года .
  8. Мерфи, Кейт (16 февраля 2011 г.). «Новые хакерские инструменты представляют большую опасность для пользователей Wi-Fi» . Нью-Йорк Таймс .
  9. ^ «HTTPS Everywhere Rulesets» . Electronic Frontier Foundation . 24 января 2014 . Проверено 19 мая 2014 .
  10. ^ "HTTPS везде Атлас" . Electronic Frontier Foundation . Проверено 24 мая 2014 .
  11. Миллс, Элинор (18 июня 2010 г.). «Надстройка Firefox шифрует сеансы с Facebook, Twitter» . CNET . Проверено 14 апреля 2014 года .
  12. ^ Gilbertson, Скотт (5 августа 2011). «Инструмент безопасности Firefox HTTPS везде достигает 1.0» . Проводной . Проверено 14 апреля 2014 года .
  13. ^ a b Экерсли, Питер (29 февраля 2012 г.). «HTTPS везде и децентрализованная обсерватория SSL» . Electronic Frontier Foundation . Проверено 4 июня 2014 года .
  14. Брайан, Мэтт (27 января 2014 г.). «Благодаря EFF работа в Интернете на телефоне Android стала еще безопаснее» . Engadget . Проверено 14 апреля 2014 года .
  15. Лемос, Роберт (21 сентября 2011 г.). «EFF создает систему для предупреждения о взломе сертификатов» . InfoWorld . Проверено 14 апреля 2014 года .
  16. Перейти ↑ Vaughan, Steven J. (28 февраля 2012 г.). «Выпущено новое расширение для веб-браузера« HTTPS Everywhere »» . ZDNet . Проверено 14 апреля 2014 года .
  17. ^ «1 Рекомендации SSAC по сертификатам внутренних имен» (PDF) . Консультативный комитет ICANN по безопасности и стабильности (SSAC). 15 марта 2013 г.
  18. Абрамс, Лоуренс (5 апреля 2018 г.). «HTTPS Everywhere теперь предоставляет новые наборы правил без обновления расширения» . BleepingComputer .
  19. ^ Фахл, Саша; и другие. «Почему Ева и Мэллори любят Android: анализ защищенности Android SSL (не)» (PDF) . Материалы конференции ACM 2012 года по компьютерной и коммуникационной безопасности . ACM, 2012. Архивировано из оригинального (PDF) 8 января 2013 года.
  20. ^ Дэвис, Бенджамин; Чен, Хао (июнь 2013 г.). «Ретро- скелет ». Материалы 11-й ежегодной международной конференции «Мобильные системы, приложения и услуги» - Mobi Sys '13 . С. 181–192. DOI : 10.1145 / 2462456.2464462 . ISBN 9781450316729.
  21. ^ Керн, М. Кэтлин и Эрик Феттплейс. «Повышение безопасности браузера». Справочник и обслуживание пользователей ежеквартально 51.3 (2012): 210-214. http://eprints.rclis.org/16837/
  22. ^ Тубиана, Винсент; Вердо, Винсент (2011). «Покажи мне свое печенье, и я скажу тебе, кто ты». arXiv : 1108.5864 [ cs.CR ].
  23. ^ a b «Пора перестать рекомендовать HTTPS везде?: privacytoolsIO» .
  24. ^ Кершбаумер, Кристоф; Гейблер, Джулиан; Эдельштейн, Артур; Мерве, Тила ван дер. «Firefox 83 представляет режим только HTTPS» . Блог по безопасности Mozilla . Дата обращения 3 декабря 2020 .
  25. ^ "HTTPS Everywhere FAQ" . Electronic Frontier Foundation . 7 ноября 2016 . Дата обращения 3 декабря 2020 .
  26. ^ claustromaniac (10 октября 2020 г.), claustromaniac / httpz , получено 3 декабря 2020 г.
  27. ^ "Smart HTTPS (возрожденный) репозиторий · Проблема № 12 · ilGur1132 / Smart-HTTPS" . GitHub . Дата обращения 3 декабря 2020 .