The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.10.2012 19:12  Организация EFF представила HTTPS Everywhere 3.0. Протокол HSTS получил статус предложенного стандарта

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила релиз HTTPS Everywhere 3.0 - дополнения к Firefox, позволяющего на всех сайтах где это возможно использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но тем не менее поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов.

В новой версии удвоен размер поддерживаемой проектом базы данных с набором правил, отражающих особенности использования HTTPS на сайтах и сервисах - в базу добавлено 1500 новых правил перенаправления. Среди мотивов создания дополнения HTTPS Everywhere отмечаются участившиеся случаи сниффинга в локальных сетях: появление таких инструментов, как Firesheep, сделало доступным для любого желающего процесс перехвата паролей и сессионных cookie к различным социальным сетям и web-сервисам. HTTPS Everywhere также позволяет защититься от участившихся попыток провайдеров вклиниться в трафик клиента, например, некоторые провайдеры были уличены в подстановке своего рекламного контента на открываемые страницы.

Кроме того, можно отметить утверждение организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security. Статус предложенного стандарта присвоен после 14 предварительных черновых версий RFC. Следующей стадией развития RFC является придание статуса чернового стандарта (Draft Standard), по сути означающего полную стабилизацию протокола и учёт всех высказанных замечаний. В настоящее время поддержка HSTS уже реализована в браузерах Chrome, Firefox и Opera.

  1. Главная ссылка к новости (https://www.eff.org/deeplinks/...)
  2. OpenNews: Первый выпуск FreedomBox, реализации персональных серверов, обеспечивающих приватность
  3. OpenNews: Проекты Collusion и HTTPS Everywhere 2.0 для обеспечения безопасности и приватности пользователей в Web
  4. OpenNews: Организация Electronic Frontier Foundation представила первый стабильный релиз HTTPS Everywhere
  5. OpenNews: Инициатива по привлечению пользователей к повышению качества поддержки HTTPS
  6. OpenNews: Обновление дополнения для постоянного использования HTTPS в Firefox
Лицензия: CC-BY
Тип: Программы
Ключевые слова: https, everywhere
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 19:45, 09/10/2012 [ответить] [показать ветку] [···]     [к модератору]
  • +1 +/
    Все бы ничего если бы не одно но любой му W удостоверяющий центр может выпис... весь текст скрыт [показать]
     
     
  • 2.4, Аноним (-), 20:01, 09/10/2012 [^] [ответить]    [к модератору]  
  • –3 +/
    можно пользоваться хромом и гуглом.
     
     
  • 3.5, Аноним (-), 20:14, 09/10/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    Это не починит фундаментальный косяк протокола. Зато подставит под удар еще и приваси + втравит в зависимость от сервисов одной единственной шараги. Нафига б такое счастье?
     
     
  • 4.23, Анон (?), 20:59, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К примеру, вы можете отключить все корневые сертификаты и при каждой смене отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, при использовании которой отправить вам фальшивый сертификат может только авторитативный DNS-сервер, обслуживающий посещённый вами адрес.
     
     
  • 5.24, Аноним (-), 21:35, 10/10/2012 [^] [ответить]     [к модератору]  
  • +/
    Это не косяк используемого способа проверки сертификата Это косяк концепции сле... весь текст скрыт [показать]
     
  • 5.26, arisu (ok), 05:41, 11/10/2012 [^] [ответить]    [к модератору]  
  • +/
    > вы можете отключить все корневые сертификаты и при каждой смене
    > отпечатка проверять его вручную по нескольким каналам.

    а ещё можно смотреть http в telnet. примерно так же удобно.

    > передача сертификата через DNSSEC

    как будто есть какая-то разница между разными местами централизации. идея централизации defective by design, и любая система, основаная на «доверии» какому-то центру, должна считаться скомпрометированой ещё до публичного релиза.

     
  • 2.12, filosofem (ok), 23:48, 09/10/2012 [^] [ответить]    [к модератору]  
  • +/
    Не надоело писать один и тот же бред в каждой новости про HTTPS? Ремень безопасности тоже декоративная мера при лобовом столкновении с камазом. А если за руль посадить слепого безногого имбецила с суицидальными наклонностями, то наличие ABS и никак не повлияет на тормозной путь.  
     
     
  • 3.13, arisu (ok), 05:51, 10/10/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > Не надоело писать один и тот же бред в каждой новости про HTTPS?

    нет, не надоело. явное отсутствие средств безопасности намного лучше, чем наличие нерабочих имитаторов. это понятно даже лысому ежу.

     
  • 1.3, Аноним (-), 20:00, 09/10/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    При этом нет гарантии что заголовок не подменили и правила не убрали ... весь текст скрыт [показать]
     
     
  • 2.6, Аноним (-), 20:14, 09/10/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > При этом нет гарантии что заголовок не подменили и правила не убрали.

    Вы подсказываете провайдерам как hijack-ать протокол? :)


     
     
  • 3.10, Капитан (??), 23:10, 09/10/2012 [^] [ответить]    [к модератору]  
  • +2 +/
    Кому надо все и без нас знают.
     
  • 2.7, Xasd (ok), 20:21, 09/10/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > При этом нет гарантии что заголовок не подменили и правила не убрали.

    кстате говоря -- надо не забывать о том что для HTTP (не HTTPS) -- заголовок Strict-Transport-Security -- совершенно ничего не делает.

    ..другими словами внутри HTTP-трафика его подмена совершенно ни на что не влияет.

     
     
  • 3.17, другой аноним (?), 09:49, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    >Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security

    что-то непонятно Вы выразились - как это не повлияет? Провайдер уберет заголовок и пользователь не перебросится, ибо браузер не будет знать куда перебросить. Останетесь на незашифрованном соединении


     
  • 1.8, Аноним (-), 21:05, 09/10/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    В Squid бы такое Чтоб между сайтом и прокси по HTTPS, а браузеру отдавал уже не... весь текст скрыт [показать]
     
     
  • 2.25, Аноним (-), 21:37, 10/10/2012 [^] [ответить]     [к модератору]  
  • +/
    Тю, умник А про SSLBUMP ты никогда, сталоть, не слышал В том самом сквиде М ... весь текст скрыт [показать]
     
  • 1.9, Дима Lenny Биан (?), 21:34, 09/10/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что-то мне кажется, что получится как с Do Not Track. "Всё-таки включить шифрование, если есть техническая возможность", если кто-то сознательно не включил его раньше, значит и теперь будут отключать.
     
  • 1.11, Толя Вихров (ok), 23:18, 09/10/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    По-моему аддон HTTPS Finder лучше: он сам ищет какой сайт поддерживает HTTPS, а в HTTPS Everywhere забит список сайтов, которые поддерживают HTTPS (еще бесит, когда каждый раз предлагает их сохранить).
     
  • 1.14, arisu (ok), 05:52, 10/10/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    лучше бы публично отрывали руки идиотам, которые делают принудительный https через перенаправления. от этого всяко пользы больше.
     
     
  • 2.15, zzz (??), 09:16, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    а чем хуже принудительный https? что кто то его не поддерживает?
     
     
  • 3.16, arisu (ok), 09:17, 10/10/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    > а чем хуже принудительный https?

    тем, что это вредная иллюзия безопасности, которая даёт только лишние тормоза и никакого толка.

     
     
  • 4.18, zzz (??), 10:18, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    чем вредная? по пути никто не сможет перехватить пароль, а так то например разработчик сайта может тупо перехватывать себе все)))
     
     
  • 5.19, arisu (ok), 10:30, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    > по пути никто не сможет перехватить пароль

    бугога. g://diginotar g://trustwave
    всё, этого достаточно. не бывает «немножко скомпрометированой системы» — или беременна, или нет. особенно это касается систем с централизоваными центрами «доверия».

     
     
  • 6.20, zzz (??), 10:35, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    для тупых можно по шагам?
    что это: g://diginotar g://trustwave ?
     
     
  • 7.21, arisu (ok), 10:37, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    google это. на два самых известных факта про «удостоверяющие центры», их честность и эпик фэйлы.
     
  • 6.22, zzz (??), 10:41, 10/10/2012 [^] [ответить]    [к модератору]  
  • +/
    >> по пути никто не сможет перехватить пароль
    > бугога. g://diginotar g://trustwave

    ага, вероятно это скомпрометированные центры сертификации...
    их сертификаты можно подписывать корневым сертификатом зашитым в браузер, но при этом
    делать запросы куда то в центр за списками отмены сертификатов центров сертификации которые (эти списки) подписаны закрытым ключем корневого центра, открытый ключ которого у нас зашит в браузер...

     
  • 6.30, ызусефещк (?), 17:01, 11/10/2012 [^] [ответить]    [к модератору]  
  • +/
    Ваш дверной замок - такая же иллюзия безопасности, (бугога g://взлом замков )
    Однако дверку в квартиру Вы закрываете чтоб бомж не насрал.
     
  • 4.29, kurokaze (ok), 14:20, 11/10/2012 [^] [ответить]    [к модератору]  
  • +/
    >только лишние тормоза

    Ну это только на твоем домашнем говносерваче из пня второго

     
     
  • 5.32, arisu (ok), 03:12, 12/10/2012 [^] [ответить]    [к модератору]  
  • +/
    третьего.
     
  • 1.27, Аноним (-), 11:31, 11/10/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    это конечно полезно, но не то Ожидаемая фича встроенный в браузер шифрованный ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor