HTTPS Everywhere

HTTPS Everywhere
開發者Tor项目电子前哨基金会
当前版本
  • 5.2.21 (2017年7月18日)[1]
  • 2022.5.24 (2022年5月24日;穩定版本)[2]
編輯維基數據鏈接
源代码库
  • github.com/EFForg/https-everywhere
編輯維基數據鏈接
编程语言JavaScript
类型瀏覽器擴充功能
许可协议GNU GPL v3+(大部分代码兼容v2)[3]
网站www.eff.org/https-everywhere 编辑维基数据

HTTPS Everywhere是一个自由开源瀏覽器擴充功能,支持Google Chrome、Mozilla Firefox和Opera,由非营利组织Tor项目电子前哨基金会(EFF)共同开发[5]。该插件会在网站支持的情况下自动转用更安全的HTTPS连接,减少使用HTTP的情况[6]

开发

Google转向HTTPS给了开发者灵感[7],从而开发出使浏览器优先使用HTTPS的HTTPS Everywhere[8]。HTTPS Everywhere的部分代码基于NoScript对HTTP严格传输安全的实现,但在设计上比NoScript更易用[9]。EFF网站上对用户提供有关向HTTPS Everywhere添加HTTPS规则集方面的指导[10],以及默认支持网站列表[11]

平台支持

HTTPS Everywhere的Firefox公测版发布于2010年[12],1.0版发布于2011年[13]。适用于Google Chrome的测试版在2012年12月发布[14]Android设备适用的版本在2014年发布[15]

SSL Observatory

SSL Observatory是HTTPS Everywhere自2.0.1版新增的一项功能,通过分析公开密钥认证来判断证书颁发机构是否已变得不可信[16],以及用户是否可能受到中间人攻击[17]。2013年,ICANN安全与稳定咨询委员会(SSAC)注意到SSL Observatory使用的数据集经常将一个组织下属的中间证书机构当作不同实体对待,使证书机构总数看起来过高。SSAC批评SSL Observatory,称其可能少统计了很多内部名称证书,还提到它使用的是2010年的数据集。[18]

评价

有两项研究建议将HTTPS Everywhere的功能植入Android浏览器[19][20]。2012年,Eric Phetteplace称该插件“可能是对Firesheep英语Firesheep式攻击最好的各平台通用应对手段”[21]。2011年,Vincent Toubiana和Vincent Verdot指出HTTPS Everywhere插件的一些不足,包括支持HTTPS服务的列表需要维护,以及部分服务在尚未准备好HTTPS的情况下被重定向至HTTPS,使插件用户无法正常访问服务[22]

参见

  • 传输层安全协议(TLS) - 在计算机网络中提供通信安全的加密协议
  • 隐私獾- EFF开发的免费浏览器插件,用于阻止第三方跟踪行为。
  • Switzerland (软件)英语Switzerland (software) – EFF开发的开源网络监控工具
  • Let's Encrypt – 免费的自动化X.509证书机构,为简化网站TLS加密的设置与维护而创建

参考文献

  1. ^ Release 5.2.21. 2017年7月18日 [2020年10月22日]. 
  2. ^ https://www.eff.org/files/Changelog.txt.
  3. ^ HTTPS Everywhere Development (页面存档备份,存于互联网档案馆) Electronic Frontier Foundation (英文)
  4. ^ Changelog.txt. EFF. 2020-11-17 [2020-11-17]. (原始内容存档于2016-08-29) (英语). 
  5. ^ HTTPS Everywhere | Electronic Frontier Foundation. Eff.org. [2014-04-14]. (原始内容存档于2011-06-05) (英语). 
  6. ^ HTTPS Everywhere reaches 2.0, comes to Chrome as beta - The H Open: News and Features. H-online.com英语H-online.com. 2012-02-29 [2014-04-14]. (原始内容存档于2014-06-05) (英语). 
  7. ^ Automatic web encryption (almost) everywhere - The H Open Source: News and Features. H-online.com英语H-online.com. 2010-06-18 [2014-04-15]. (原始内容存档于2010-06-23) (英语). 
  8. ^ Kate Murphy: New hacking tools pose bigger threats to Wi-Fi users.. [2017-02-24]. (原始内容存档于2017-08-21). 
  9. ^ HTTPS Everywhere | Electronic Frontier Foundation. Eff.org. [2014-06-04]. (原始内容存档于2014-06-05) (英语). 
  10. ^ HTTPS Everywhere Rulesets | Electronic Frontier Foundation. Eff.org. 2014-01-24 [2014-05-19]. (原始内容存档于2014-06-03) (英语). 
  11. ^ HTTPS Everywhere Atlas. eff.org. [2014-05-24]. (原始内容存档于2014-05-21) (英语). 
  12. ^ Mills, Elinor. Firefox add-on encrypts sessions with Facebook, Twitter. CNET. 2010-06-18 [2014-04-14]. (原始内容存档于2014-05-30) (英语). 
  13. ^ Scott Gilbertson. Firefox Security Tool HTTPS Everywhere Hits 1.0 | Webmonkey. WIRED. 2011-08-05 [2014-04-14]. (原始内容存档于2014-06-05) (英语). 
  14. ^ HTTPS Everywhere & the Decentralized SSL Observatory | Electronic Frontier Foundation. Eff.org. 2012-02-29 [2014-06-04]. (原始内容存档于2014-06-06) (英语). 
  15. ^ Brian, Matt. Browsing on your Android phone just got safer, thanks to the EFF. Engadget.com. 2014-01-27 [2014-04-14]. (原始内容存档于2014-10-22) (英语). 
  16. ^ Lemos, Robert. EFF builds system to warn of certificate breaches | Encryption. InfoWorld英语InfoWorld. 2011-09-21 [2014-04-14]. (原始内容存档于2014-06-02) (英语). 
  17. ^ Vaughan, Steven J. New 'HTTPS Everywhere' Web browser extension released. ZDNet. 2012-02-28 [2014-04-14]. (原始内容存档于2014-04-04) (英语). 
  18. ^ 1 SSAC Advisory on Internal Name Certificates (PDF). ICANN Security and Stability Advisory Committee (SSAC). 2013-03-15 [2017-02-24]. (原始内容存档 (PDF)于2014-03-23) (英语). 
  19. ^ Fahl, Sascha; et al. Why Eve and Mallory love Android: An analysis of Android SSL (in)security (PDF). ACM, 2012. [2017-02-24]. (原始内容 (PDF)存档于2013-01-08) (英语). 
  20. ^ Davis, B.; Chen, H. Retro Skeleton. Proceeding of the 11th annual international conference on Mobile systems, applications, and services - Mobi Sys '13. 2013: 181. ISBN 9781450316729. doi:10.1145/2462456.2464462 (英语). 
  21. ^ Kern, M. Kathleen, and Eric Phetteplace. "Hardening the browser." Reference & User Services Quarterly英语Reference & User Services Quarterly 51.3 (2012): 210-214. http://eprints.rclis.org/16837/ (页面存档备份,存于互联网档案馆(英文)
  22. ^ Toubiana, Vincent; Verdot, Vincent. Show Me Your Cookie And I Will Tell You Who You Are. 2011. arXiv:1108.5864可免费查阅 [cs.CR] (英语). 

外部链接

  • 官方网站(英文)
  • 版本库(页面存档备份,存于互联网档案馆(英文)
相關人物
  • Caspar Bowden英语Caspar Bowden
  • Roger Dingledine英语Roger Dingledine
  • Ian Goldberg英语Ian Goldberg
  • Wendy Seltzer英语Wendy Seltzer
技術
軟件
  • Orbot
  • Ricochet英语Ricochet (software)
  • Snowflake
  • Tails
  • Tor2web
  • TorChat英语TorChat
  • Tor-ramdisk英语Tor-ramdisk
  • Vidalia
相關主題
  • 分类 分类
  • 共享资源页面 共享资源
协议和技术
公钥基础设施
另见
历史
实现
  • 充气城堡英语Bouncy Castle (cryptography)
  • Botan英语Botan (programming library)
  • cryptlib英语cryptlib
  • GnuTLS
  • JSSE英语Java Secure Socket Extension
  • LibreSSL
  • MatrixSSL
  • NSS
  • OpenSSL
  • mbed TLS
  • RSA BSAFE英语RSA BSAFE
  • SChannel英语Security Support Provider Interface
  • SSLeay
  • Stunnel
  • wolfSSL
公证
  • 证书透明度
  • Convergence英语Convergence (SSL)
  • HTTPS Everywhere / SSL Observatory
漏洞
理论
密码本
  • 受诫礼攻击英语Bar mitzvah attack
协议
  • BEAST英语BEAST (security_exploit)
  • BREACH英语BREACH (security exploit)
  • CRIME
  • DROWN英语DROWN attack
  • Logjam英语Logjam (computer security)
实现