The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Организация EFF представила HTTPS Everywhere 3.0. Протокол HSTS получил статус предложенного стандарта

09.10.2012 19:12

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила релиз HTTPS Everywhere 3.0 - дополнения к Firefox, позволяющего на всех сайтах где это возможно использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но тем не менее поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов.

В новой версии удвоен размер поддерживаемой проектом базы данных с набором правил, отражающих особенности использования HTTPS на сайтах и сервисах - в базу добавлено 1500 новых правил перенаправления. Среди мотивов создания дополнения HTTPS Everywhere отмечаются участившиеся случаи сниффинга в локальных сетях: появление таких инструментов, как Firesheep, сделало доступным для любого желающего процесс перехвата паролей и сессионных cookie к различным социальным сетям и web-сервисам. HTTPS Everywhere также позволяет защититься от участившихся попыток провайдеров вклиниться в трафик клиента, например, некоторые провайдеры были уличены в подстановке своего рекламного контента на открываемые страницы.

Кроме того, можно отметить утверждение организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security. Статус предложенного стандарта присвоен после 14 предварительных черновых версий RFC. Следующей стадией развития RFC является придание статуса чернового стандарта (Draft Standard), по сути означающего полную стабилизацию протокола и учёт всех высказанных замечаний. В настоящее время поддержка HSTS уже реализована в браузерах Chrome, Firefox и Opera.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Первый выпуск FreedomBox, реализации персональных серверов, обеспечивающих приватность
  3. OpenNews: Проекты Collusion и HTTPS Everywhere 2.0 для обеспечения безопасности и приватности пользователей в Web
  4. OpenNews: Организация Electronic Frontier Foundation представила первый стабильный релиз HTTPS Everywhere
  5. OpenNews: Инициатива по привлечению пользователей к повышению качества поддержки HTTPS
  6. OpenNews: Обновление дополнения для постоянного использования HTTPS в Firefox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/35036-https
Ключевые слова: https, everywhere
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 19:45, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Все бы ничего если бы не одно но: любой му...^W удостоверяющий центр может выписать сертификат на все что угодно. И тот факт что некто перегенерил сертификат "гуглю", "мозилле" и прочим - никак не будет отловлен. А вот это уже хреново. По поводу чего https в текущем виде больше похож на декоративно-прикладные упражнения в имитации секурити.

    Соответственно я все понимаю, но стремление внедрить декоративную секурити как-то не радует.

     
     
  • 2.4, Аноним (-), 20:01, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    можно пользоваться хромом и гуглом.
     
     
  • 3.5, Аноним (-), 20:14, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это не починит фундаментальный косяк протокола. Зато подставит под удар еще и приваси + втравит в зависимость от сервисов одной единственной шараги. Нафига б такое счастье?
     
     
  • 4.23, Анон (?), 20:59, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К примеру, вы можете отключить все корневые сертификаты и при каждой смене отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, при использовании которой отправить вам фальшивый сертификат может только авторитативный DNS-сервер, обслуживающий посещённый вами адрес.
     
     
  • 5.24, Аноним (-), 21:35, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ
    > _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К
    > примеру, вы можете отключить все корневые сертификаты и при каждой смене
    > отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда,
    > что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC,
    > при использовании которой отправить вам фальшивый сертификат может только авторитативный
    > DNS-сервер, обслуживающий посещённый вами адрес.

    Это не косяк используемого способа проверки сертификата. Это косяк концепции слепого доверия, основанного на "мамой клянусь!"^WCertificate Policy Statement любого му..^Wудостоверяющего центра.

     
  • 5.26, arisu (ok), 05:41, 11/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > вы можете отключить все корневые сертификаты и при каждой смене
    > отпечатка проверять его вручную по нескольким каналам.

    а ещё можно смотреть http в telnet. примерно так же удобно.

    > передача сертификата через DNSSEC

    как будто есть какая-то разница между разными местами централизации. идея централизации defective by design, и любая система, основаная на «доверии» какому-то центру, должна считаться скомпрометированой ещё до публичного релиза.

     
  • 2.12, filosofem (ok), 23:48, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не надоело писать один и тот же бред в каждой новости про HTTPS? Ремень безопасности тоже декоративная мера при лобовом столкновении с камазом. А если за руль посадить слепого безногого имбецила с суицидальными наклонностями, то наличие ABS и никак не повлияет на тормозной путь.  
     
     
  • 3.13, arisu (ok), 05:51, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не надоело писать один и тот же бред в каждой новости про HTTPS?

    нет, не надоело. явное отсутствие средств безопасности намного лучше, чем наличие нерабочих имитаторов. это понятно даже лысому ежу.

     

  • 1.3, Аноним (-), 20:00, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Кроме того, можно отметить утверждение организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security.

    При этом нет гарантии что заголовок не подменили и правила не убрали.

     
     
  • 2.6, Аноним (-), 20:14, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При этом нет гарантии что заголовок не подменили и правила не убрали.

    Вы подсказываете провайдерам как hijack-ать протокол? :)


     
     
  • 3.10, Капитан (??), 23:10, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кому надо все и без нас знают.
     
  • 2.7, Xasd (ok), 20:21, 09/10/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > При этом нет гарантии что заголовок не подменили и правила не убрали.

    кстате говоря -- надо не забывать о том что для HTTP (не HTTPS) -- заголовок Strict-Transport-Security -- совершенно ничего не делает.

    ..другими словами внутри HTTP-трафика его подмена совершенно ни на что не влияет.

     
     
  • 3.17, другой аноним (?), 09:49, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security

    что-то непонятно Вы выразились - как это не повлияет? Провайдер уберет заголовок и пользователь не перебросится, ибо браузер не будет знать куда перебросить. Останетесь на незашифрованном соединении


     

  • 1.8, Аноним (-), 21:05, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на нет. Разумеется, всё это для маленькой домашней сетки.
     
     
  • 2.25, Аноним (-), 21:37, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а
    > браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то
    > если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на
    > нет. Разумеется, всё это для маленькой домашней сетки.

    Тю, умник! А про SSLBUMP ты никогда, сталоть, не слышал? В том самом сквиде? М? Тоже мне, нашел ж.пу с лабиринтом!

     

  • 1.9, Дима Lenny Биан (?), 21:34, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то мне кажется, что получится как с Do Not Track. "Всё-таки включить шифрование, если есть техническая возможность", если кто-то сознательно не включил его раньше, значит и теперь будут отключать.
     
  • 1.11, Толя Вихров (ok), 23:18, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По-моему аддон HTTPS Finder лучше: он сам ищет какой сайт поддерживает HTTPS, а в HTTPS Everywhere забит список сайтов, которые поддерживают HTTPS (еще бесит, когда каждый раз предлагает их сохранить).
     
  • 1.14, arisu (ok), 05:52, 10/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    лучше бы публично отрывали руки идиотам, которые делают принудительный https через перенаправления. от этого всяко пользы больше.
     
     
  • 2.15, zzz (??), 09:16, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а чем хуже принудительный https? что кто то его не поддерживает?
     
     
  • 3.16, arisu (ok), 09:17, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а чем хуже принудительный https?

    тем, что это вредная иллюзия безопасности, которая даёт только лишние тормоза и никакого толка.

     
     
  • 4.18, zzz (??), 10:18, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    чем вредная? по пути никто не сможет перехватить пароль, а так то например разработчик сайта может тупо перехватывать себе все)))
     
     
  • 5.19, arisu (ok), 10:30, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > по пути никто не сможет перехватить пароль

    бугога. g://diginotar g://trustwave
    всё, этого достаточно. не бывает «немножко скомпрометированой системы» — или беременна, или нет. особенно это касается систем с централизоваными центрами «доверия».

     
     
  • 6.20, zzz (??), 10:35, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    для тупых можно по шагам?
    что это: g://diginotar g://trustwave ?
     
     
  • 7.21, arisu (ok), 10:37, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    google это. на два самых известных факта про «удостоверяющие центры», их честность и эпик фэйлы.
     
  • 6.22, zzz (??), 10:41, 10/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> по пути никто не сможет перехватить пароль
    > бугога. g://diginotar g://trustwave

    ага, вероятно это скомпрометированные центры сертификации...
    их сертификаты можно подписывать корневым сертификатом зашитым в браузер, но при этом
    делать запросы куда то в центр за списками отмены сертификатов центров сертификации которые (эти списки) подписаны закрытым ключем корневого центра, открытый ключ которого у нас зашит в браузер...

     
  • 6.30, ызусефещк (?), 17:01, 11/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ваш дверной замок - такая же иллюзия безопасности, (бугога g://взлом замков )
    Однако дверку в квартиру Вы закрываете чтоб бомж не насрал.
     
  • 4.29, kurokaze (ok), 14:20, 11/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >только лишние тормоза

    Ну это только на твоем домашнем говносерваче из пня второго

     
     
  • 5.32, arisu (ok), 03:12, 12/10/2012 [^] [^^] [^^^] [ответить]  
  • +/
    третьего.
     

  • 1.27, Аноним (-), 11:31, 11/10/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    это конечно полезно, но не то. Ожидаемая фича: встроенный в браузер шифрованный туннель по http к доверительному серверу-посреднику от производителя браузера, как у opera режим турбо. Это нужно там, где https невозможен или недоступен...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру