Czy w miarę możliwości zmusić Chrome do wypróbowania HTTPS zamiast HTTP?

Wiele witryn oferuje zarówno HTTP, jak i HTTPS, np. Http://stackoverflow.com i https://stackoverflow.com

Czy jest jakiś sposób, aby zmusić Chrome do wypróbowania HTTPS najpierw przed HTTP, gdy piszę tylko stackoverflow.comw pasku adresu?

google-chrome https

— kiewic
źródło

Uwaga, niektóre witryny wytwarzają różne treści przy użyciu różnych protokołów.

— 把友情留在无盐

Nie zwiększy to bezpieczeństwa, ponieważ osoba atakująca może łatwo wywołać powrót do http. Jeśli naprawdę chcesz dodatkowych zabezpieczeń, przeglądarka musi pamiętać, które domeny wcześniej działały na https, i nie wracać automatycznie do http w witrynach, w których https działał w przeszłości. (To nie byłoby ścisłe jak HSTS, ponieważ nadal możesz ręcznie pisać http://i używać http:linków.)

— kasperd

@soubunmei Jestem ciekawy. Czy masz jakieś tego przykłady?

— paradroid

@paradroid teoretycznie jest to możliwe, jednak byłbym zaskoczony, gdyby ktoś zrobił to w praktyce (zobacz, jak możesz dodać port do konfiguracji vhosta) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane

Odpowiedzi:

Możesz wypróbować to rozszerzenie Chrome HTTPS Everywhere .

— paradroid
źródło

Wydaje się, że jest to rozszerzenie z większą liczbą użytkowników i otwartym kodem źródłowym. Próbuję.

— kiewic

To była dokładnie pierwsza rzecz, jaka przyszła mi do głowy, gdy czytam ten tytuł. Pamiętaj jednak, że może to popsuć niektóre rzeczy. Jeśli żąda strony za pomocą HTTPS i działa, ale z jakiegoś dziwnego powodu nie może użyć HTTP do połączenia się ze stroną za pomocą XHR, wtedy pozostanie ci strona z błędami.

— Ismael Miguel

@ IsmaelMiguel, co jest prawdopodobnie dobrym zastrzeżeniem dla każdego rozszerzenia, które utwardza Twoją przeglądarkę; zwiększenie bezpieczeństwa zwykle odbywa się kosztem pewnej użyteczności. IMO „domyślnie blokuje” z opcją włączenia, jeśli czujesz się bezpiecznie, jest znacznie lepsza niż alternatywa, ale wymaga pewnej świadomości użytkownika końcowego.

— Mike Ounsworth,

@MikeOunsworth Dla większości użytkowników taka świadomość jest prawie zerowa. Większość tylko czyta „zwiększone bezpieczeństwo i prywatność” i od razu zaczyna z niego korzystać. Następnie obwiniają za to rozszerzenie. Ale nadal warto go dodać tutaj. Wiem, że Tor ma pewne problemy ze StackExchange.

— Ismael Miguel

Wymuś HTTPS w Chrome

Google jest jedną z bardziej agresywnych firm dążących do tego, aby tak się stało. Oto kilka sposobów wymuszenia HTTPS w Chrome, aby zapewnić jak najbezpieczniejsze przeglądanie.

Uruchom Chrome z HTTPS

Chrome obsługuje wpisywanie chrome: // net-internals / w pasku adresu, a następnie dołącz pozycję menu HSTS. HSTS to HTTPS Strict Transport Security: sposób, w jaki strony zawsze wybierają HTTPS. HSTS jest obsługiwany w Google Chrome. Za pomocą tego ustawienia możesz teraz wymusić HTTPS dla dowolnej domeny, a nawet „przypiąć” tę domenę, aby tylko bardziej zaufany podzbiór urzędów certyfikacji mógł zidentyfikować tę domenę. Minusem jest to, że jeśli wymusisz domenę, która w ogóle nie ma protokołu SSL, nie będziesz w stanie uzyskać dostępu do witryny.

Chromium.org

Wymuś HTTPS z rozszerzeniem KB SSL Enforcer

To rozszerzenie wymusi HTTPS w Chrome dla witryn, które obsługują. Nie jest całkowicie zabezpieczone przed niesławnym Firesheep, ale znacznie zmniejsza to ryzyko. Z powodu ograniczeń Chrome KB Enforcer przekierowuje stronę podczas ładowania. Otrzymujesz szybkie migotanie niezaszyfrowanej strony, ale przekierowuje Cię tak szybko, jak to możliwe.

KB SSL Enforcer

Rozszerzenie HTTP do Force HTTPS w Chrome

Użyj HTTP zmusi zdefiniowane witryny do używania HTTPS zamiast HTTP. Jest fabrycznie wyposażony w dwie zdefiniowane strony: Facebook i Twitter. Podobnie jak poprzednie rozszerzenie, początkowe żądanie jest wysyłane do witryny, która nie używa HTTPS.

Użyj HTTPS

— 0m3r
źródło

Należy pamiętać, że obecność HSTS jest określana przez operatora serwera, a nie klienta.

— CVn

@ MichaelKjörling Właściwie to częściowo zależy od klienta, ponieważ mogą mieć wstępnie załadowane listy (jak wyjaśniono w linku Chromium w odpowiedzi).

— Bruno