 | |
| 開發者 | Tor專案和電子前哨基金會 |
|---|---|
| 穩定版本 | 2020.11.17 (2020年11月17日[1]) |
| 程式語言 | JavaScript |
| 類型 | 瀏覽器擴充功能 |
| 授權條款 | GNU GPL v3+(大部分代碼相容v2)[2] |
HTTPS Everywhere是一個自由且開源的瀏覽器擴充功能,支援Google Chrome、Mozilla Firefox和Opera,由非營利組織Tor專案和電子前哨基金會(EFF)共同開發[3]。該外掛程式會在網站支援的情況下自動轉用更安全的HTTPS連接,減少使用HTTP的情況[4]。
開發
Google轉向HTTPS給了開發者靈感[5],從而開發出使瀏覽器優先使用HTTPS的HTTPS Everywhere。HTTPS Everywhere的部分代碼基於NoScript對HTTP嚴格傳輸安全的實現,但在設計上比NoScript更易用[6]。EFF網站上對使用者提供有關向HTTPS Everywhere添加HTTPS規則集方面的指導[7],以及預設支援網站列表[8]。
平台支援
HTTPS Everywhere的Firefox公測版釋出於2010年[9],1.0版釋出於2011年[10]。適用於Google Chrome的測試版在2012年12月釋出[11]。Android裝置適用的版本在2014年釋出[12]。
SSL Observatory
SSL Observatory是HTTPS Everywhere自2.0.1版新增的一項功能,通過分析公開金鑰認證來判斷憑證頒發機構是否已變得不可信[13],以及使用者是否可能受到中間人攻擊[14]。2013年,ICANN安全與穩定諮詢委員會(SSAC)注意到SSL Observatory使用的資料集經常將一個組織下屬的中間憑證機構當作不同實體對待,使憑證機構總數看起來過高。SSAC批評SSL Observatory,稱其可能少統計了很多內部名稱憑證,還提到它使用的是2010年的資料集。[15]
評價
有兩項研究建議將HTTPS Everywhere的功能植入Android瀏覽器[16][17]。2012年,Eric Phetteplace稱該外掛程式「可能是對Firesheep式攻擊最好的各平台通用應對手段」[18]。2011年,Vincent Toubiana和Vincent Verdot指出HTTPS Everywhere外掛程式的一些不足,包括支援HTTPS服務的列表需要維護,以及部分服務在尚未準備好HTTPS的情況下被重新導向至HTTPS,使外掛程式使用者無法正常存取服務[19]。
參見
- 傳輸層安全協定(TLS) - 在電腦網路中提供通信安全的加密協定
- 隱私獾- EFF開發的免費瀏覽器外掛程式,用於阻止第三方跟蹤行為。
- Switzerland (軟體) – EFF開發的開源網路監視工具
- Let's Encrypt – 免費的自動化X.509憑證機構,為簡化網站TLS加密的設定與維護而建立
參考文獻
- ↑ Changelog.txt. EFF. 2020-11-17 [2020-11-17] (英語).
- ↑ HTTPS Everywhere Development Electronic Frontier Foundation (英文)
- ↑ HTTPS Everywhere | Electronic Frontier Foundation. Eff.org. [2014-04-14] (英語).
- ↑ HTTPS Everywhere reaches 2.0, comes to Chrome as beta - The H Open: News and Features. H-online.com. 2012-02-29 [2014-04-14] (英語).
- ↑ Automatic web encryption (almost) everywhere - The H Open Source: News and Features. H-online.com. 2010-06-18 [2014-04-15] (英語).
- ↑ HTTPS Everywhere | Electronic Frontier Foundation. Eff.org. [2014-06-04] (英語).
- ↑ HTTPS Everywhere Rulesets | Electronic Frontier Foundation. Eff.org. 2014-01-24 [2014-05-19] (英語).
- ↑ HTTPS Everywhere Atlas. eff.org. [2014-05-24] (英語).
- ↑ Mills, Elinor. Firefox add-on encrypts sessions with Facebook, Twitter. CNET. 2010-06-18 [2014-04-14] (英語).
- ↑ Scott Gilbertson. Firefox Security Tool HTTPS Everywhere Hits 1.0 | Webmonkey. WIRED. 2011-08-05 [2014-04-14] (英語).
- ↑ HTTPS Everywhere & the Decentralized SSL Observatory | Electronic Frontier Foundation. Eff.org. 2012-02-29 [2014-06-04] (英語).
- ↑ Brian, Matt. Browsing on your Android phone just got safer, thanks to the EFF. Engadget.com. 2014-01-27 [2014-04-14] (英語).
- ↑ Lemos, Robert. EFF builds system to warn of certificate breaches | Encryption. InfoWorld. 2011-09-21 [2014-04-14] (英語).
- ↑ Vaughan, Steven J. New 'HTTPS Everywhere' Web browser extension released. ZDNet. 2012-02-28 [2014-04-14] (英語).
- ↑ 1 SSAC Advisory on Internal Name Certificates (PDF). ICANN Security and Stability Advisory Committee (SSAC). 2013-03-15 [2017-02-24] (英語).
- ↑ Fahl, Sascha; et al. Why Eve and Mallory love Android: An analysis of Android SSL (in)security (PDF). ACM, 2012. [2017-02-24] (英語).
- ↑ Davis, B.; Chen, H. Retro Skeleton. Proceeding of the 11th annual international conference on Mobile systems, applications, and services - Mobi Sys '13. 2013: 181. ISBN 9781450316729. doi:10.1145/2462456.2464462 (英語).
- ↑ Kern, M. Kathleen, and Eric Phetteplace. "Hardening the browser." Reference & User Services Quarterly 51.3 (2012): 210-214. http://eprints.rclis.org/16837/ (英文)
- ↑ Toubiana, Vincent; Verdot, Vincent. Show Me Your Cookie And I Will Tell You Who You Are. 2011. arXiv:1108.5864
[cs.CR] (英語). |eprint=和|arxiv=只需其一 (幫助);|last1=和|last=只需其一 (幫助);|first1=和|first=只需其一 (幫助)