HTTPS везде

Прекращено расширение браузера, позволяющее веб-браузерам использовать HTTPS вместо HTTP, когда это возможно.

HTTPS Everywhere — это прекращенное бесплатное расширение браузера с открытым исходным кодом для Google Chrome , Microsoft Edge , Mozilla Firefox , Opera , Brave , Vivaldi и Firefox для Android , которое было разработано совместно The Tor Project и Electronic Frontier Foundation (EFF). ^[4] Это автоматически заставляет веб-сайты использовать более безопасное соединение HTTPS вместо HTTP , если они его поддерживают. ^[5] Опция «Шифровать все доступные сайты» позволяет блокировать и разблокировать все соединения браузера, отличные от HTTPS, одним щелчком мыши. ^[6] В связи с широким распространением HTTPS во Всемирной паутине и интеграцией режима «только HTTPS» в основные браузеры расширение было прекращено в январе 2023 года. ^[7]

Разработка

HTTPS Everywhere был создан на основе более широкого использования HTTPS компанией Google ^[8] и предназначен для принудительного использования HTTPS автоматически, когда это возможно. ^[9] Код частично основан на реализации HTTP Strict Transport Security в NoScript , но HTTPS Everywhere призван быть более простым в использовании, чем принудительная функциональность HTTPS No Script, которая требует от пользователя вручную добавлять веб-сайты в список. ^[4] EFF предоставляет пользователям информацию о том, как добавить наборы правил HTTPS в HTTPS Everywhere, ^[10] и информацию о том, какие веб-сайты поддерживают HTTPS. ^[11]

Поддержка платформы

Публичная бета -версия HTTPS Everywhere для Firefox была выпущена в 2010 году, ^[12] а версия 1.0 была выпущена в 2011 году. ^[13] Бета-версия для Chrome была выпущена в феврале 2012 года . ^[14] В 2014 году была выпущена версия для телефонов Android . . ^[15]

SSL-обсерватория

SSL Observatory — это функция HTTPS Everywhere, представленная в версии 2.0.1 ^[14] , которая анализирует сертификаты открытых ключей , чтобы определить, были ли скомпрометированы центры сертификации ^[16] и уязвим ли пользователь для атак «человек посередине». . ^[17] В 2013 году Консультативный комитет ICANN по безопасности и стабильности (SSAC) отметил, что набор данных , используемый Обсерваторией SSL, часто рассматривает промежуточные центры сертификации как разные объекты, тем самым увеличивая количество центров сертификации. SSAC раскритиковал SSL Observatory за потенциально существенное занижение внутренних сертификатов имен и отметил, что она использовала набор данных с 2010 года. ^[18]

Постоянное обновление набора правил

В обновлении версии 2018.4.3, выпущенном 3 апреля 2018 г., появилась функция «Постоянные обновления набора правил». ^[19] Чтобы применить актуальные https-правила, эта функция обновления выполняет одно сопоставление правил в течение 24 часов. Для этой цели EFF создал веб-сайт под названием https-rulesets . ^[20] Эту функцию автоматического обновления можно отключить в настройках дополнения. До появления механизма обновления обновления наборов правил осуществлялись только посредством обновлений приложений. Даже после того, как эта функция была реализована, наборы правил по-прежнему поставляются в составе обновлений приложений.

Прием

Два исследования рекомендовали встроить функциональность HTTPS Everywhere в браузеры Android. ^{[21] [22]} В 2012 году Эрик Феттплейс назвал его «возможно, лучшим ответом на атаки в стиле Firesheep , доступным для любой платформы». ^[23] В 2011 году Винсент Тубиана и Винсент Вердо указали на некоторые недостатки дополнения HTTPS Everywhere, в том числе на необходимость сохранения списка сервисов, поддерживающих HTTPS, и на то, что некоторые сервисы перенаправляются на HTTPS, хотя они еще недоступны. в HTTPS, не позволяя пользователю расширения попасть на сервис. ^[24] Другая критика заключается в том, что пользователи могут быть введены в заблуждение, полагая, что если HTTPS Everywhere не переключает сайт на HTTPS, то это потому, что у него нет версии HTTPS, хотя возможно, менеджер сайта не предоставил набор правил HTTPS. в EFF, ^[25] и что, поскольку расширение отправляет информацию о сайтах, которые посещает пользователь, в SSL Observatory, это можно использовать для отслеживания пользователя. ^[25]

Наследие

Инициатива HTTPS Everywhere вдохновила на создание оппортунистических альтернатив шифрования:

• 2022: Firefox для Android и Firefox Focus только с HTTPS-режимом ^{[26] [27]}
• 2021: режим Google Chrome только с HTTPS ^{[28] [29]}
• 2020: встроенный в Firefox режим «только HTTPS» ^{[30] [31]}
• 2019: HTTPZ ^[32] для браузеров, поддерживающих Firefox / WebExt .
• 2017: Smart-HTTPS (с закрытым исходным кодом, начиная с версии 0.2 ^[33] )

Смотрите также

• Transport Layer Security (TLS) — криптографические протоколы, обеспечивающие безопасность связи в компьютерной сети.
• Privacy Badger – бесплатное расширение для браузера, созданное EFF, которое блокирует рекламу и отслеживает файлы cookie .
• Швейцария (программное обеспечение) — утилита для мониторинга сети с открытым исходным кодом, разработанная EFF для мониторинга сетевого трафика.
• Let’s Encrypt — бесплатный автоматизированный центр сертификации X.509 , предназначенный для упрощения настройки и обслуживания безопасных веб-сайтов с шифрованием TLS.
• HTTP Strict Transport Security — механизм политики веб-безопасности, который помогает защитить веб-сайты от атак с понижением версии протокола и перехвата файлов cookie .

Рекомендации

1. "Изменения.txt". Фонд электронных границ . Проверено 27 июня 2019 г.
2. «Релизы · EFForg/https-everwhere» . Гитхаб . Проверено 16 июня 2018 г.
3. Фонд HTTPS Everywhere Development Electronic Frontier
4. «HTTPS везде». Фонд электронных границ . Проверено 14 апреля 2014 г.
5. «HTTPS Everywhere достигает версии 2.0, доступна в Chrome в виде бета-версии» . H-online.com . 29 февраля 2012 года . Проверено 14 апреля 2014 г.
6. «Журнал изменений HTTPS повсюду» .
7. Обновленная информация о HTTPS Everywhere, Electronic Frontier Foundation, 12 января 2023 г. , получено 12 января 2023 г.
8. «Автоматическое веб-шифрование (почти) повсюду - The H Open Source: новости и возможности» . H-online.com . 18 июня 2010 года. Архивировано из оригинала 23 июня 2010 года . Проверено 15 апреля 2014 г.
9. Мерфи, Кейт (16 февраля 2011 г.). «Новые инструменты взлома представляют большую угрозу для пользователей Wi-Fi». Нью-Йорк Таймс .
10. «Наборы правил HTTPS повсюду» . Фонд электронных границ . 24 января 2014 года . Проверено 19 мая 2014 г.
11. "Атлас HTTPS повсюду" . Фонд электронных границ . Проверено 24 мая 2014 г.
12. Миллс, Элинор (18 июня 2010 г.). «Дополнение Firefox шифрует сеансы с Facebook, Twitter». CNET . Проверено 14 апреля 2014 г.
13. Гилбертсон, Скотт (5 августа 2011 г.). «Инструмент безопасности Firefox повсюду: HTTPS достигает версии 1.0» . Проводной . Проверено 14 апреля 2014 г.
14. Экерсли, Питер (29 февраля 2012 г.). «HTTPS повсюду и децентрализованная обсерватория SSL». Фонд электронных границ . Проверено 4 июня 2014 г.
15. Брайан, Мэтт (27 января 2014 г.). «Серфинг на вашем телефоне Android стал безопаснее благодаря EFF». Engadget . Проверено 14 апреля 2014 г.
16. Лемос, Роберт (21 сентября 2011 г.). «EFF создает систему предупреждения о нарушениях сертификатов». Инфомир . Проверено 14 апреля 2014 г.
17. Воган, Стивен Дж. (28 февраля 2012 г.). «Выпущено новое расширение веб-браузера HTTPS Everywhere» . ЗДНет . Проверено 14 апреля 2014 г.
18. «1 рекомендация SSAC по сертификатам внутреннего имени» (PDF) . Консультативный комитет ICANN по безопасности и стабильности (SSAC). 15 марта 2013 г.
19. Абрамс, Лоуренс (5 апреля 2018 г.). «HTTPS Everywhere теперь предоставляет новые наборы правил без обновления расширения». Мигающий компьютер .
20. www.https-rulesets.org https://www.https-rulesets.org/ . Проверено 12 сентября 2022 г. {{cite web}}: Отсутствует или пусто |title=( помощь )
21. Фаль, Саша; и другие. «Почему Ева и Мэллори любят Android: анализ (не)безопасности Android SSL» (PDF) . Материалы конференции ACM по компьютерной и коммуникационной безопасности 2012 года . ACM, 2012. Архивировано из оригинала (PDF) 8 января 2013 года.
22. Дэвис, Бенджамин; Чен, Хао (2013). «Ретро- скелет ». Материалы 11-й ежегодной международной конференции по мобильным системам, приложениям и сервисам - Mobi Sys '13 (опубликовано в июне 2013 г.). стр. 181–192. дои : 10.1145/2462456.2464462. ISBN 9781450316729. S2CID  668399.
23. Керн, М. Кэтлин и Эрик Феттплейс. «Усиление защиты браузера». Ежеквартальный журнал справочных и пользовательских услуг 51.3 (2012 г.): 210–214. http://eprints.rclis.org/16837/
24. Тубиана, Винсент; Вердо, Винсент (2011). «Покажи мне свое печенье, и я скажу тебе, кто ты». arXiv : 1108.5864 [cs.CR].
25. «Пора перестать рекомендовать HTTPS везде?: PrivacytoolsIO» . 28 января 2017 г.
26. «Firefox Focus на Android теперь включает режим только HTTPS» . Engadget . 8 марта 2022 г. Проверено 24 декабря 2022 г.
27. «Firefox для Android теперь имеет переключатель для режима «Только HTTPS» — gHacks Tech News» . Новости технологий gHacks . 29 апреля 2022 г. Проверено 24 декабря 2022 г.
28. Брэдшоу, Кайл (29 июня 2021 г.). «Google Chrome предложит режим «только HTTPS»». 9to5Google . Проверено 13 сентября 2022 г.
29. «Google Chrome получит режим только HTTPS для безопасного просмотра» . Мигающий компьютер . Проверено 13 сентября 2022 г.
30. Кершбаумер, Кристоф; Гейблер, Джулиан; Эдельштейн, Артур; Мерве, Тила ван дер (17 ноября 2020 г.). «В Firefox 83 представлен режим только HTTPS». Блог о безопасности Mozilla . Проверено 3 декабря 2020 г.
31. «Часто задаваемые вопросы по HTTPS повсюду» . Фонд электронных границ . 7 ноября 2016 г. Проверено 3 декабря 2020 г.
32. клаустроманьяк (10 октября 2020 г.), claustromaniac/httpz , дата обращения 3 декабря 2020 г.
33. «Репозиторий Smart HTTPS (обновленный) · Проблема № 12 · ilGur1132/Smart-HTTPS» . Гитхаб . Проверено 3 декабря 2020 г.