Vorrei sapere se è necessario utilizzare l'estensione "HTTPS ovunque" ? È sicuro utilizzarlo? Ci sono alternative migliori?
HTTPS Everywhere is a Firefox and Chrome extension that encrypts your communications with many major websites, making your browsing more secure. Encrypt the web: Install HTTPS Everywhere today.
EFF è un'organizzazione molto rispettata dedicata alla protezione della privacy nelle comunicazioni elettroniche. Sarebbe contro i loro interessi mettere a repentaglio la privacy delle persone attraverso i loro prodotti.
Puoi anche utilizzare NoScript per assicurarti che le tue connessioni siano su https. NoScript include anche una tonnellata di altre difese che includono la protezione XSS, il rilevamento di Clickjacking, ABE (un po 'come un firewall nel browser) e molti altri. NoScript è in circolazione da anni ed è molto apprezzato e rispettato.
Come ho risposto prima, dovresti capire che puoi ancora utilizzare SSLstrip contro HTTPS ovunque. Cercando un po ', ho anche trovato questo link e questo test (correlato al link precedente), sembra che HTTPSEverywhere non ti protegga dagli attacchi di spoofing. In relazione a questo argomento, ho trovato anche questo che contiene molti buone informazioni e questo one su come per proteggere dagli attacchi sslstrip.
Divertiti a leggere;)
Penso che questa estensione sia abbastanza semplice e generalmente sicura da usare per due motivi:
Innanzitutto, su Q. Quando HTTPS Everywhere mi protegge? Se non mi protegge? sezione pagina delle FAQ del sito Web HTTPS Everywhere
HTTPS Everywhere depends entirely on the security features of the individual web sites that you use; it activates those security features, but it can't create them if they don't already exist.
Questo significa che l'estensione attiva semplicemente HTTPS se possibile e non comunica tra il browser dell'utente e il sito web.
In secondo luogo, è open source e il codice sorgente è pubblico . Significa che chiunque può accedere e leggere come funziona l'estensione, se possibile.
Tuttavia, a mio parere, la descrizione dell'estensione sembra fuorviante, perché afferma di "crittografare le tue comunicazioni" sul loro sito web. Questa estensione passa semplicemente da http a https se possibile e non fa nulla con la trasmissione dei dati.
HTTPS Everywhere è una grande funzionalità, ma il problema che vedo è che ha dipendenza dal browser dell'utente e dal tipo di browser. Inoltre se sarà davvero difficile gestire il browser mobile e tablet.
Sarà l'ideale se gestiamo l'applicazione HTTPS dal server stesso. Se stai ospitando un portale molto confidenziale, puoi andare per una sessione sicura per tutte le pagine (servlet, ecc.) Altrimenti puoi applicarle anche su determinate pagine. Penso che siamo tenuti a garantire la sicurezza del livello di trasporto quando è richiesto dal lato server stesso. Pertanto, le pagine in cui vengono visualizzati i dati di accesso / autenticazione o riservati sono protetti con HTTPS e il server che chiama il collegamento tramite HTTP deve essere negato dal server.
A volte ha senso non imporre una sessione sicura per tutte le pagine o dati, ad esempio immagini, poiché il sovraccarico della sessione consumerà più larghezza di banda sia per client che per server.
Per quanto riguarda la sicurezza di HTTPS Everywhere, potrebbe essere protetto, ma non puoi fare affidamento sul suo comportamento e sulle sue proprietà per l'applicazione della sicurezza. In entrambi i casi è necessario assicurarsi che le pagine riservate o le pagine di autenticazione passino attraverso il canale HTTPS che viene applicato dal server.
Leggi altre domande sui tag web-browser tls sslstrip browser-extensions