Czy w miarę możliwości zmusić Chrome do wypróbowania HTTPS zamiast HTTP?


43

Wiele witryn oferuje zarówno HTTP, jak i HTTPS, np. Http://stackoverflow.com i https://stackoverflow.com

Czy jest jakiś sposób, aby zmusić Chrome do wypróbowania HTTPS najpierw przed HTTP, gdy piszę tylko stackoverflow.comw pasku adresu?


5
Uwaga, niektóre witryny wytwarzają różne treści przy użyciu różnych protokołów.
把 友情 留 在 无 盐

2
Nie zwiększy to bezpieczeństwa, ponieważ osoba atakująca może łatwo wywołać powrót do http. Jeśli naprawdę chcesz dodatkowych zabezpieczeń, przeglądarka musi pamiętać, które domeny wcześniej działały na https, i nie wracać automatycznie do http w witrynach, w których https działał w przeszłości. (To nie byłoby ścisłe jak HSTS, ponieważ nadal możesz ręcznie pisać http://i używać http:linków.)
kasperd

@soubunmei Jestem ciekawy. Czy masz jakieś tego przykłady?
paradroid

@paradroid teoretycznie jest to możliwe, jednak byłbym zaskoczony, gdyby ktoś zrobił to w praktyce (zobacz, jak możesz dodać port do konfiguracji vhosta) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost
Shane

Odpowiedzi:


52

Możesz wypróbować to rozszerzenie Chrome HTTPS Everywhere .


1
Wydaje się, że jest to rozszerzenie z większą liczbą użytkowników i otwartym kodem źródłowym. Próbuję.
kiewic

2
To była dokładnie pierwsza rzecz, jaka przyszła mi do głowy, gdy czytam ten tytuł. Pamiętaj jednak, że może to popsuć niektóre rzeczy. Jeśli żąda strony za pomocą HTTPS i działa, ale z jakiegoś dziwnego powodu nie może użyć HTTP do połączenia się ze stroną za pomocą XHR, wtedy pozostanie ci strona z błędami.
Ismael Miguel

2
@ IsmaelMiguel, co jest prawdopodobnie dobrym zastrzeżeniem dla każdego rozszerzenia, które utwardza ​​Twoją przeglądarkę; zwiększenie bezpieczeństwa zwykle odbywa się kosztem pewnej użyteczności. IMO „domyślnie blokuje” z opcją włączenia, jeśli czujesz się bezpiecznie, jest znacznie lepsza niż alternatywa, ale wymaga pewnej świadomości użytkownika końcowego.
Mike Ounsworth,

2
@MikeOunsworth Dla większości użytkowników taka świadomość jest prawie zerowa. Większość tylko czyta „zwiększone bezpieczeństwo i prywatność” i od razu zaczyna z niego korzystać. Następnie obwiniają za to rozszerzenie. Ale nadal warto go dodać tutaj. Wiem, że Tor ma pewne problemy ze StackExchange.
Ismael Miguel

29

Wymuś HTTPS w Chrome

Google jest jedną z bardziej agresywnych firm dążących do tego, aby tak się stało. Oto kilka sposobów wymuszenia HTTPS w Chrome, aby zapewnić jak najbezpieczniejsze przeglądanie.

Uruchom Chrome z HTTPS

Chrome obsługuje wpisywanie chrome: // net-internals / w pasku adresu, a następnie dołącz pozycję menu HSTS. HSTS to HTTPS Strict Transport Security: sposób, w jaki strony zawsze wybierają HTTPS. HSTS jest obsługiwany w Google Chrome. Za pomocą tego ustawienia możesz teraz wymusić HTTPS dla dowolnej domeny, a nawet „przypiąć” tę domenę, aby tylko bardziej zaufany podzbiór urzędów certyfikacji mógł zidentyfikować tę domenę. Minusem jest to, że jeśli wymusisz domenę, która w ogóle nie ma protokołu SSL, nie będziesz w stanie uzyskać dostępu do witryny.

Chromium.org

Wymuś HTTPS z rozszerzeniem KB SSL Enforcer

To rozszerzenie wymusi HTTPS w Chrome dla witryn, które obsługują. Nie jest całkowicie zabezpieczone przed niesławnym Firesheep, ale znacznie zmniejsza to ryzyko. Z powodu ograniczeń Chrome KB Enforcer przekierowuje stronę podczas ładowania. Otrzymujesz szybkie migotanie niezaszyfrowanej strony, ale przekierowuje Cię tak szybko, jak to możliwe.

KB SSL Enforcer

Rozszerzenie HTTP do Force HTTPS w Chrome

Użyj HTTP zmusi zdefiniowane witryny do używania HTTPS zamiast HTTP. Jest fabrycznie wyposażony w dwie zdefiniowane strony: Facebook i Twitter. Podobnie jak poprzednie rozszerzenie, początkowe żądanie jest wysyłane do witryny, która nie używa HTTPS.

Użyj HTTPS


1
Należy pamiętać, że obecność HSTS jest określana przez operatora serwera, a nie klienta.
CVn

4
@ MichaelKjörling Właściwie to częściowo zależy od klienta, ponieważ mogą mieć wstępnie załadowane listy (jak wyjaśniono w linku Chromium w odpowiedzi).
Bruno
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.