/使用谷歌浏览器/
如果我访问:
https://secure.wikimedia.org/wikipedia/en/wiki/File:Nokota_Horses_cropped.jpg
那么:
http://upload.wikimedia.org/wikipedia/commons/d/de/Nokota_Horses_cropped.jpg
位于仅 HTTP 服务器上。
那么,如果我在浏览器的地址栏中看到“HTTPS”,那么我如何才能 100% 确定这意味着该网站的全部内容确实已加密?
在我的示例中,维基百科上的图片没有使用加密(?),因此嗅探器可以知道我正在访问有关马的维基百科网站。
我是否应该安装一个代理(例如:privoxy)来确保“HTTPS 站点”上不会加载纯 HTTP 元素?
谢谢..
答案1
如果 HTTPS 页面上有 HTTP 内容,大多数浏览器都会向您发出警告。如果您访问在 HTTPS 页面上混合 HTTP 内容的网站,这可能会非常烦人。从你的问题来看,维基百科就是其中之一。正确设置后,Firefox 会警告我访问此页面。
Web 服务器不需要提供 HTTPS。许多网站不提供 HTTPS,其他网站可能仅使用它来保护登录屏幕和他们认为需要安全路径的其他内容。即使您使用 HTTPS,仍然可以确定您正在浏览哪些服务器。在许多情况下,服务器仅托管一个站点,因此该站点也是已知的。
直到最近,HTTPS 所需的证书都相当昂贵。根据所需的信任级别,成本仍然很高。银行和其他需要高度信任和安全的组织将为他们的证书支付高昂的价格。
如果您希望隐藏流量以防止本地监控,您可以使用代理的安全路径。这可能会对监视您流量的人发出危险信号。
如果您使用私有代理,则代理下游的任何人都能够确定您试图隐藏的大部分信息。
答案2
您可能对 HTTP 严格传输安全(有时称为 STS 或 HSTS)感兴趣。这是网络服务器可以发送的自愿标头,以指示网络浏览器该网站必须始终安全。 Chrome 是实现它的浏览器之一。 http://www.imperialviolet.org/2011/02/17/hstsui.html 我认为您可以将维基百科添加到 Chrome 中 HSTS 站点的默认数据库中,以在各处强制执行 HTTPS,但我不确定。除此之外,要对所有 Web 浏览器和访问某些网站的其他 HTTP 客户端强制执行 HTTPS,您将需要某种代理。您还可以走极端,使用 Tor 和 Onion 路由来隐藏您甚至正在访问维基百科的事实。
答案3
与此相关的是firefox插件https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension
正如他们所指出的
与往常一样,即使您位于 HTTPS 页面,请记住,除非 Firefox 在右下角显示彩色地址栏和完整的锁定图标,否则该页面并未完全加密,您仍然可能容易受到各种形式的攻击。窃听或黑客攻击(在许多情况下,HTTPS Everywhere 无法阻止这种情况,因为网站包含不安全的第三方内容)。