HTTPS Everywhere是一個自由且開源的瀏覽器擴充功能,支持Google Chrome、Mozilla Firefox和Opera,由非營利組織Tor項目和電子前哨基金會(EFF)共同開發[3]。該插件會在網站支持的情況下自動轉用更安全的HTTPS連接,減少使用HTTP的情況[4]。
開發
Google轉向HTTPS給了開發者靈感[5],從而開發出使瀏覽器優先使用HTTPS的HTTPS Everywhere[6]。HTTPS Everywhere的部分代碼基於NoScript對HTTP嚴格傳輸安全的實現,但在設計上比NoScript更易用[7]。EFF網站上對用戶提供有關向HTTPS Everywhere添加HTTPS規則集方面的指導[8],以及默認支持網站列表[9]。
HTTPS Everywhere的Firefox公測版發布於2010年[10],1.0版發布於2011年[11]。適用於Google Chrome的測試版在2012年12月發布[12]。Android設備適用的版本在2014年發布[13]。
SSL Observatory
SSL Observatory是HTTPS Everywhere自2.0.1版新增的一項功能,通過分析公開密鑰認證來判斷證書頒發機構是否已變得不可信[14],以及用戶是否可能受到中間人攻擊[15]。2013年,ICANN安全與穩定諮詢委員會(SSAC)注意到SSL Observatory使用的數據集經常將一個組織下屬的中間證書機構當作不同實體對待,使證書機構總數看起來過高。SSAC批評SSL Observatory,稱其可能少統計了很多內部名稱證書,還提到它使用的是2010年的數據集。[16]
評價
有兩項研究建議將HTTPS Everywhere的功能植入Android瀏覽器[17][18]。2012年,Eric Phetteplace稱該插件「可能是對Firesheep式攻擊最好的各平台通用應對手段」[19]。2011年,Vincent Toubiana和Vincent Verdot指出HTTPS Everywhere插件的一些不足,包括支持HTTPS服務的列表需要維護,以及部分服務在尚未準備好HTTPS的情況下被重定向至HTTPS,使插件用戶無法正常訪問服務[20]。
參見
- 傳輸層安全協議(TLS) - 在計算機網絡中提供通信安全的加密協議
- 隱私獾- EFF開發的免費瀏覽器插件,用於阻止第三方跟蹤行為。
- Switzerland (軟件) – EFF開發的開源網絡監控工具
- Let's Encrypt – 免費的自動化X.509證書機構,為簡化網站TLS加密的設置與維護而創建
參考文獻
外部連結
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
