Примусити Chrome спробувати HTTPS замість HTTP, коли це можливо?

Багато веб-сайтів пропонують як HTTP, так і HTTPS, наприклад, http://stackoverflow.com та https://stackoverflow.com

Чи можна змусити Chrome спершу спробувати HTTPS перед HTTP, коли я ввожу лише stackoverflow.comадресний рядок?

google-chrome https

Зауважте, деякі сайти випускають різний вміст з різними протоколами.

— 把友情留在无盐

Це не додасть особливої безпеки, тому що зловмисник може спровокувати резервну копію http досить легко. Якщо ви дійсно хочете додаткової безпеки, браузер повинен пам’ятати, які домени раніше працювали над https, і не автоматично переходити до http на сайтах, де https працював у минулому. (Це не було б суворо, як HSTS, тому що ви все ще можете вручну вводити http://та використовувати http:посилання.)

— kasperd,

@soubunmei Мені цікаво. Чи є у вас приклади цього?

— парадороїд

@paradroid це теоретично можливо, проте я буду здивований, якщо хтось це зробив на практиці (дивіться, ви можете додати порт до своєї конфігурації vhost) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Шейн

Відповіді:

Ви можете спробувати це розширення HTTPS Everywhere Chrome.

— парадироїд
джерело

Здається, це розширення з більшою кількістю користувачів та відкритим кодом. Спробуйте.

— kiewic

Це було саме перше, що спливе мені в голові, коли я прочитав цю назву. Але майте на увазі, що це може зламати деякі речі. Якщо він запитує сторінку з HTTPS, і вона працює, але з якоїсь дивної причини вона не може використовувати HTTP для підключення до сторінки за допомогою XHR, то вам залишиться помилкова сторінка.

— Ісмаїл Мігель

@IsmaelMiguel - це, мабуть, хороша відмова від будь-якого розширення, яке твердіє ваш браузер; підвищення безпеки зазвичай відбувається за рахунок деякої зручності використання. IMO "блок-за замовчуванням" з можливістю включити, якщо ви відчуваєте себе в безпеці, набагато краще, ніж альтернатива, але вимагає певної обізнаності кінцевих користувачів.

— Майк Оунсворт

@MikeOunsworth Для більшості користувачів така обізнаність майже не дорівнює нулю. Більшість лише читає "підвищену безпеку та конфіденційність" і стрибає прямо в її використанні. Потім вони звинувачують продовження в цьому. Але все-таки слід додати його сюди. Я знаю, що у Tor є деякі проблеми зі StackExchange.

— Ісмаїл Мігель

Застосовуйте HTTPS у Chrome

Google - одна з найагресивніших компаній, яка намагається зробити це. Ось декілька способів змусити HTTPS в Chrome забезпечити максимально безпечний перегляд.

Запуск Chrome із HTTPS

Підтримка Chrome вводить chrome: // net-Internals у ваш адресний рядок, а потім додайте пункт меню HSTS. HSTS - це сувора транспортна безпека HTTPS: спосіб, коли сайти можуть обирати, щоб завжди використовувати HTTPS. HSTS підтримується в Google Chrome. За допомогою цього налаштування ви тепер можете примусово використовувати HTTPS для будь-якого домену, який ви хочете, і навіть "прикріпити" цей домен, щоб ідентифікувати цей домен може лише більш надійний підмножина CA. Мінус полягає в тому, що якщо ви змусите домен, у якого зовсім немає SSL, ви не зможете потрапити на сайт.

Chromium.org

Застосуйте HTTPS з розширенням KB SSL Enforcer

Це розширення змусить HTTPS в Chrome для веб-сайтів, які підтримують. Він не є повністю захищеним від сумнозвісного Firesheep, але він значно мінімізує ризик. Через обмеження в Chrome KB SSL Enforcer перенаправляє сторінку під час її завантаження. Ви отримуєте швидке мерехтіння незашифрованої сторінки, але вона перенаправляє вас якнайшвидше.

KB SSL Enforcer

Розширення HTTP для примусового використання HTTPS в Chrome

Використання HTTP змусить визначені сайти використовувати HTTPS замість HTTP. Він поставляється з попередньо завантаженими двома визначеними сайтами: Facebook та Twitter. Як і попереднє розширення, початковий запит надсилається на сайт, не використовуючи HTTPS.

Використовуйте HTTPS

— 0м3р
джерело

Зауважте, що наявність HSTS визначається оператором сервера, а не клієнтом.

— CVn

@ MichaelKjörling Насправді це частково залежить від клієнта, оскільки вони можуть мати попередньо завантажені списки (як пояснено у посиланні Chromium у відповіді).

— Бруно