Примусити Chrome спробувати HTTPS замість HTTP, коли це можливо?


43

Багато веб-сайтів пропонують як HTTP, так і HTTPS, наприклад, http://stackoverflow.com та https://stackoverflow.com

Чи можна змусити Chrome спершу спробувати HTTPS перед HTTP, коли я ввожу лише stackoverflow.comадресний рядок?


5
Зауважте, деякі сайти випускають різний вміст з різними протоколами.
把 友情 留 在 无 盐

2
Це не додасть особливої ​​безпеки, тому що зловмисник може спровокувати резервну копію http досить легко. Якщо ви дійсно хочете додаткової безпеки, браузер повинен пам’ятати, які домени раніше працювали над https, і не автоматично переходити до http на сайтах, де https працював у минулому. (Це не було б суворо, як HSTS, тому що ви все ще можете вручну вводити http://та використовувати http:посилання.)
kasperd,

@soubunmei Мені цікаво. Чи є у вас приклади цього?
парадороїд

@paradroid це теоретично можливо, проте я буду здивований, якщо хтось це зробив на практиці (дивіться, ви можете додати порт до своєї конфігурації vhost) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost
Шейн

Відповіді:


52

Ви можете спробувати це розширення HTTPS Everywhere Chrome.


1
Здається, це розширення з більшою кількістю користувачів та відкритим кодом. Спробуйте.
kiewic

2
Це було саме перше, що спливе мені в голові, коли я прочитав цю назву. Але майте на увазі, що це може зламати деякі речі. Якщо він запитує сторінку з HTTPS, і вона працює, але з якоїсь дивної причини вона не може використовувати HTTP для підключення до сторінки за допомогою XHR, то вам залишиться помилкова сторінка.
Ісмаїл Мігель

2
@IsmaelMiguel - це, мабуть, хороша відмова від будь-якого розширення, яке твердіє ваш браузер; підвищення безпеки зазвичай відбувається за рахунок деякої зручності використання. IMO "блок-за замовчуванням" з можливістю включити, якщо ви відчуваєте себе в безпеці, набагато краще, ніж альтернатива, але вимагає певної обізнаності кінцевих користувачів.
Майк Оунсворт

2
@MikeOunsworth Для більшості користувачів така обізнаність майже не дорівнює нулю. Більшість лише читає "підвищену безпеку та конфіденційність" і стрибає прямо в її використанні. Потім вони звинувачують продовження в цьому. Але все-таки слід додати його сюди. Я знаю, що у Tor є деякі проблеми зі StackExchange.
Ісмаїл Мігель

29

Застосовуйте HTTPS у Chrome

Google - одна з найагресивніших компаній, яка намагається зробити це. Ось декілька способів змусити HTTPS в Chrome забезпечити максимально безпечний перегляд.

Запуск Chrome із HTTPS

Підтримка Chrome вводить chrome: // net-Internals у ваш адресний рядок, а потім додайте пункт меню HSTS. HSTS - це сувора транспортна безпека HTTPS: спосіб, коли сайти можуть обирати, щоб завжди використовувати HTTPS. HSTS підтримується в Google Chrome. За допомогою цього налаштування ви тепер можете примусово використовувати HTTPS для будь-якого домену, який ви хочете, і навіть "прикріпити" цей домен, щоб ідентифікувати цей домен може лише більш надійний підмножина CA. Мінус полягає в тому, що якщо ви змусите домен, у якого зовсім немає SSL, ви не зможете потрапити на сайт.

Chromium.org

Застосуйте HTTPS з розширенням KB SSL Enforcer

Це розширення змусить HTTPS в Chrome для веб-сайтів, які підтримують. Він не є повністю захищеним від сумнозвісного Firesheep, але він значно мінімізує ризик. Через обмеження в Chrome KB SSL Enforcer перенаправляє сторінку під час її завантаження. Ви отримуєте швидке мерехтіння незашифрованої сторінки, але вона перенаправляє вас якнайшвидше.

KB SSL Enforcer

Розширення HTTP для примусового використання HTTPS в Chrome

Використання HTTP змусить визначені сайти використовувати HTTPS замість HTTP. Він поставляється з попередньо завантаженими двома визначеними сайтами: Facebook та Twitter. Як і попереднє розширення, початковий запит надсилається на сайт, не використовуючи HTTPS.

Використовуйте HTTPS


1
Зауважте, що наявність HSTS визначається оператором сервера, а не клієнтом.
CVn

4
@ MichaelKjörling Насправді це частково залежить від клієнта, оскільки вони можуть мати попередньо завантажені списки (як пояснено у посиланні Chromium у відповіді).
Бруно
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.