“HTTPS Everywhere” 仍然有意义吗?

“HTTPS Everywhere” 仍然有意义吗?

无处不在的 HTTPS是一款浏览器扩展程序,是 Tor 项目和电子前沿基金会合作开发的,如果可用,它可以自动将 HTTP URL 请求重写为安全的 HTTPS 替代方案。它似乎已经存在了大约十年,但从未引起我的注意,直到最近有人问起它。尝试研究它得到了一大堆信息。

  1. 无论需要什么,目前尚不清楚它“开箱即用”有多大用处。各种文章都提到需要用白名单和规则补充默认值才能获得全部好处。因此,实施它似乎不是一件容易的事。

  2. 至少曾经有一段时间,相当一部分网站都是仅支持 HTTP 的,因此使用此类软件只能带来有限的好处。看来,处理敏感个人数据的网站已经基本转向仅支持 HTTPS。谷歌实施了各种措施来激励网站转换为 HTTPS。目前尚不清楚 HTTP 仍然是一个多大的问题(或者如果它仍然是,这个问题是否会很快消失)。

    目前还不清楚转换为 HTTPS 的网站是否仅为旧访问者保留 HTTP 链接,并自动重定向到他们的 HTTPS 网站。

  3. 主流浏览器似乎都已整合了在可用时优先使用 HTTPS 网站的逻辑,或者已开始实施该逻辑。至少 Google(尚未看到其他搜索引擎的任何消息)有一个同名程序(不清楚是否实际上是同一款产品),可在搜索时自动尝试 HTTPS 连接。

  4. 大约三年前,曾有文章讨论“为什么需要安装 HTTPS Everywhere”。最近有几篇文章建议人们不要再建议人们安装此软件。文章的主旨似乎与已经复制该功能的浏览器有关。

因此,目前尚不清楚 HTTP 是否仍是一个需要解决的实质性问题,如果是,那么首先尝试 HTTPS 链接的软件是否可以解决剩余的问题。整个问题是否已被事件所取代?

我在寻找背景信息,而不是意见(即描述当前情况的事实,而不是关于情况好坏或我是否需要该软件的意见)。例如,主流浏览器现在是否提供了 HTTPS Everywhere 的补救措施?HTTP 现在是否实际上仅限于没有个人数据的网站?政府或行业法规是否有意使这不再是一个问题?换句话说,客观信息将使我(和其他人)了解当前事态,以便形成自己的观点并确定与我自己的相关性。

答案1

在内容混杂、网站配置不周全的时代,HTTPS Everywhere 无疑更为必要。如今的网络无疑更加成熟,拥有以下技术高速传输系统可供任何网站使用,并且公钥锁定对于更大的玩家(现在已弃用,取而代之的是证书透明度- 感谢贾斯汀通知我)。

因此,该扩展是否有用在很大程度上取决于您的个人用例。为同时提供 HTTP 和 HTTPS 的网站制定自定义规则是该扩展擅长的事情,我不知道还有其他人做类似的工作。即使在网站不支持 HTTPS 的情况下,该扩展也会确保对第三方域(如 CDN)的任何引用都将升级到 HTTPS,即使原始引用是协议中立的。

答案2

作为 HTTPS Everywhere 的前规则集贡献者,我有以下看法。

  • HTTPS Everywhere 项目会定期测试所有重写规则,并禁用因任何原因失败的规则。这可确保对网站配置的变化做出相对快速的响应,但除非投入大量维护工作,否则可能会导致很大一部分规则集被禁用。建议补充中央规则集主要是因为人们不知道这些中央规则集可以而且应该被纠正。这是一个志愿者可用性的问题。

  • 在将网络迁移到仅 HTTPS 方面取得了重大进展,但许多网站仍然配置错误,还有更多网站没有实施防止首次连接攻击所需的关键 HSTS 预加载保护。实施此保护的网站不久后将从 HTTPS Everywhere 的规则集中删除。

  • Web 浏览器技术非常有用,但它们在 HSTS 预加载列表之外所做的任何事情都只是锦上添花。HTTPS Everywhere 为尚未通过浏览器启用 HSTS 的网站提供了权宜之计,本质上需要自定义社区维护的 HSTS 配置。

总而言之,保留它不会有什么坏处。再忍几年,希望这一切都会变得多余。

答案3

虽然人们对 HTTPS 和 HSTS 的认识不断提高,确实推动了安全标准的进步,但 HTTPS Everywhere 扩展仍然有用:

HSTS 可以有效防止 HTTP 降级攻击,但需要注意的是,它基于首次使用模型的信任。这意味着您第一次连接到网站必须通过 HTTPS,否则 HSTS 保护可能会受到损害(例如,HTTP 到 HTTPS 301 重定向是攻击的机会窗口)。

HSTS 通常使用 HTST 预加载列表来防止这种情况,HTST 预加载列表是浏览器内置的域名列表,强制首次连接仅使用 HTTPS 访问这些网站。但是,进入列表(并等待更改在浏览器中应用)需要一些时间,而且并非每个网站都会费心注册自己。这时,浏览器扩展程序可以提供帮助,确保所有首次连接仅通过 HTTPS。

另一个较小的情况是网站的 HTTPS 位于与通常不同的路径上。例如,一个网站可能有http://www.example同时拥有他们的安全网站https://secure.example。HTTPS Everywhere 保存着一个域名数据库,以确保您访问正确的 HTTPS URL。

脚注:公钥固定也有帮助,但由于采用率低且可能成为借口,即使是 Chrome 也决定将其删除。

答案4

这肯定会引起争议,但无论如何我就是这么认为的......

对于 HTTPS 的必要性,人们存在一些误解,这很可能是故意传播的。就像所有半真半假的说法一样,一些争论中有真理,但也充满谎言。

HTTPS(或 TLS)具有一些非常有用和理想的属性(身份验证和保密性),这些属性对于某些服务(例如银行业)来说是绝对必要的,并且可以说是对相当多(也许是大多数)服务必不可少的。基本上,任何包含个人身份识别数据的东西都是如此。
在这种情况下,有很多事情完全不需要 HTTPS,另一方面,HTTPS 被使用不当,即混合内容,可能非常不安全(几乎就像没有 HTTPS 一样),这首先就是 HTTPS 无处不在的理由。是的,考虑到过去一些网站确实提供了强制 HTTPS混合内容的服务,当然曾经有一些优点。

当然,有些人确实有相当多的偏执,而且这种偏执正在被积极地宣扬,认为全世界实际上都对每个人微不足道的小事感兴趣。果然,在 Instagram 上发布了你今天所做的一切(包括照片和地理标签!)之后,字面上地全世界都可以阅读,通过加密渠道安全地阅读,做得很好。此外,重要的是不要让任何人知道你在互联网上做什么。此外,还有一个阴谋,他们修改新闻文章,向你提供虚假信息,呃……我不知道为什么(实际上,有一些这也是事实,因为这正是谷歌所做的——只是在不同的层面上,改变的不是实际内容,而是你看到的内容,但这与是否使用 HTTPS 无关。HTTPS 的灵丹妙药可以防止所有这些坏事!所以很明显,一切都需要 HTTPS/TLS。

无论如何,即使使用适当地,HTTPS 仍然无法提供您想要的服务。一方面,整个证书链都建立在这样一个假设之上:您可以“信任”某个通过出售证书赚钱的人(比如 Comodo),而实际上没有理由信任他们。然后,不仅是政府,而且大型企业(以及学校、防病毒软件,还有谁知道……)也积极地颠覆证书链,通过安装根证书,其唯一目的是有效地打破系统。
所以,不,沟通不是保证保密,不,他们不是以可靠的方式进行身份验证。无论如何,没有你想象的那么多。使用你雇主的笔记本电脑?使用你孩子的电脑?没用。你的电脑上安装了防病毒软件?一切都是未知的。
但至少你知道一个网站是安全的,浏览器上的绿色小东西会告诉你这一点,它会警告有风险的网站。没错,每个人都可以免费获得非绿色证书(避免可怕的警告),以及只需很少的钱就可以获得绿色徽章证书。它绝对没有任何意义。
我真的希望你也启用了 TLS 来访问你的 gmail 帐户。因为,你知道,这使得它安全的,你不想有人在网上阅读你的邮件,对吧。果然,谷歌将不会阅读您未加密的邮件,这些邮件存储在他们的服务器上。当然,作为一家美国公司,他们不会将邮件内容提供给特定的政府组织。

现在真实的必须在任何地方都使用 HTTPS 的原因是,谷歌、微软或亚马逊等公司以及所有销售带宽的提供商都希望这样做。

他们不希望每个人和他们的祖母都将信用卡计算机设置为透明的 Web 代理,这不仅可以通过缓存资源来减少带宽消耗,还可以过滤掉他们的广告和跟踪内容。当然,您可以随时添加一个浏览器插件来做同样的事情。只是,您必须在每一个在你家里的电脑上,在某些设备上(Fire TV),如果不让设备无法使用,这根本是不可能的,或者你必须 root 它(比如安卓手机),这也不一定是无破坏的(非常感谢三星 Knox,太棒了)。
幸运的是,你可以停止胡闹全局,适用于所有设备通过在有线/DSL 调制解调器后面安装透明代理,您可以访问网络中的所有内容,这需要花费 20 欧元和 3 分钟的设置时间。天哪,真是一场灾难!您将下载确切地他们想要的版本(包括“个性化”),以及他们想要的时间,包括所有信标等等。所以这就是真的为什么到处都需要 HTTPS。

讽刺的是,那些推广 HTTPS 的公司强调,例如 TLS 不仅隐藏了实际内容,还隐藏了你点击的确切 URL(例如http://somesite.com/dirty_porn_pic.jpg)等……实际上他们正是那些不遗余力地获取你的系统指纹、识别你、保存无限历史记录、跟踪你点击的每一个动作、收集所有可能的信息(包括你何时去哪里、你的心跳)的人。或者,任何文件在你的电脑上。有没有想过亚马逊是如何做到的,所以他们顺便说一下五分钟前,你用手机在谷歌上搜索了 XYZ,为什么你却在电脑上推荐了 XYZ?不同的公司,不同的设备,人们不可能知道这两台设备属于同一个人。我确实不知道他们是怎么做到的,因为在我看来,无论他们为了实现这一目标需要做什么,肯定都不符合法律规定(至少在欧盟是这样)。但显然,这并不是什么障碍。

HTTPS 实际上有助于做所有这些合法的事情,它既提供了一种虚假的安全感,又模糊了正在发送的内容,而且不再让人们问:“嘿,从我的设备发出的加密流量到底是什么!?”因为,你知道,全部流量应该加密,这是件好事。加密的内容并不可疑,可能无害。没有人隐藏什么。

相关内容