Обновление дополнения для постоянного использования HTTPS в Firefox

25.11.2010 15:08

Организация Electronic Frontier Foundation (EFF) представила новую версию проекта HTTPS Everywhere, которая выпущена в ответ на увеличение числа атак, проводимых при помощи браузерного дополнения Firesheep, анализирующего сетевой трафик на предмет наличия паролей и сессионных cookie к различным социальным сетям и web-сервисам, которые в дальнейшем могут быть использованы злоумышленником. Дополнение Firesheep существенно понизило уровень квалификации, необходимый для проведения данных атак, сделав их доступными для любого желающего.

HTTPS Everywhere работает как дополнение к Firefox, позволяющее там где это возможно использовать шифрование трафика при посещении сайтов в сети, сводя на нет эффективность сниффинга внутри локальной сети. В новой версии добавлены правила для защиты сайтов Amazon S3 (AWS), Bit.ly, Cisco, Dropbox, Evernote и GitHub. Усилена защита Facebook, Twitter и Hotmail.

По заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди известных сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики расширения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

исправить +6 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28777-firefox

Ключевые слова: firefox, ssl, https, tpl, crypt

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.1, as (??), 15:27, 25/11/2010 [ответить]	+/–
пробовал тормозило при поиске в гугле (100 результатов на стр)

2.2, Аноним (-), 15:31, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Тормозило не дополнение, а браузер.

2.3, greenman (ok), 15:39, 25/11/2010 [^] [^^] [^^^] [ответить]	+/–
Часть правил можно отключить. Например, тот же google search. Нехай хакеры узнают, что же я ищу.

2.4, dimqua (ok), 15:51, 25/11/2010 [^] [^^] [^^^] [ответить]	+4 +/–
Тем, кому важна приватность вообще не следует искать в Google. Думаю, что его и добавили в дополнение так, для количества.

3.6, анонимус (??), 16:13, 25/11/2010 [^] [^^] [^^^] [ответить]	+2 +/–
Кому нужна приватность вообще не стоит выходить в интернет

1.5, gegMOPO4 (ok), 15:59, 25/11/2010 [ответить]	+/–
Как на серверах скажется необходимость шифровать статический контент?

1.7, Толя Вихров (ok), 16:26, 25/11/2010 [ответить]	+/–
Хорошая штука. Пользуюсь с момента выхода - _ни_одной_претензии_.

1.8, Эргил (?), 09:16, 26/11/2010 [ответить]

+/–

MailYandex.xml если кому надо и лень написать три строчки ))

вроде работает :)

1.9, Аноним (-), 11:20, 26/11/2010 [ответить]

+/–

Проблема в том, что не все владельцы сайтов предусматривают возможность работы с ними через https (думая, видимо, что это удел всяких банков), а те, которые позволяют, почему то (может по оценкам производительности) эту возможность не афишируют. Например вот кто знает о https://secure.mail.ru/ ?

p.s. Предлагаю администратору opennet.ru тоже сделать опциональный доступ через https.

p.p.s А давайте скинемся на сертификат на домен *.opennet.ru?

Добавить комментарий

Текст: