The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление дополнения для постоянного использования HTTPS в Firefox

25.11.2010 15:08

Организация Electronic Frontier Foundation (EFF) представила новую версию проекта HTTPS Everywhere, которая выпущена в ответ на увеличение числа атак, проводимых при помощи браузерного дополнения Firesheep, анализирующего сетевой трафик на предмет наличия паролей и сессионных cookie к различным социальным сетям и web-сервисам, которые в дальнейшем могут быть использованы злоумышленником. Дополнение Firesheep существенно понизило уровень квалификации, необходимый для проведения данных атак, сделав их доступными для любого желающего.

HTTPS Everywhere работает как дополнение к Firefox, позволяющее там где это возможно использовать шифрование трафика при посещении сайтов в сети, сводя на нет эффективность сниффинга внутри локальной сети. В новой версии добавлены правила для защиты сайтов Amazon S3 (AWS), Bit.ly, Cisco, Dropbox, Evernote и GitHub. Усилена защита Facebook, Twitter и Hotmail.

По заявлению разработчиков, многие сайты предлагают посетителям по умолчанию доступ без шифрования, оставляя HTTPS как запасной вариант, или делают использование HTTPS затруднительным, например, из-за наличия ссылок из безопасной области на незашифрованные страницы сайта. Проект HTTPS Everywhere призван автоматизировать решение данных проблем путем перенаправления запросов на HTTPS-области во всех возможных случаях. Среди известных сайтов, для которых дополнение может обеспечить полное шифрование передаваемых данных, называются: Google, Wikipedia, Twitter, Identi.ca, Facebook, EFF, Tor, Ixquick, DuckDuckGo, Scroogle, New York Times, Washington Post и другие популярные сервисы.

При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления. Дополнительно разработчики расширения советуют пользователям Firefox быть бдительными и при посещении защищенных областей сайтов обращать внимание на значок с изображением замка в правом нижнем углу, если замок разомкнут, то несмотря на характерную для шифрованной сессии подсветку адресной строки, данные шифруются не полностью и транзитный злоумышленник при желании может организовать прослушивание трафика.

  1. Главная ссылка к новости (http://www.eff.org/press/archi...)
  2. OpenNews: Дополнение для постоянного использования HTTPS в Firefox
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/28777-firefox
Ключевые слова: firefox, ssl, https, tpl, crypt
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (9) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, as (??), 15:27, 25/11/2010 [ответить]  
  • +/
    пробовал
    тормозило при поиске в гугле (100 результатов на стр)
     
     
  • 2.2, Аноним (-), 15:31, 25/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Тормозило не дополнение, а браузер.
     
  • 2.3, greenman (ok), 15:39, 25/11/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Часть правил можно отключить. Например, тот же google search. Нехай хакеры узнают, что же я ищу.
     
  • 2.4, dimqua (ok), 15:51, 25/11/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Тем, кому важна приватность вообще не следует искать в Google. Думаю, что его и добавили в дополнение так, для количества.
     
     
  • 3.6, анонимус (??), 16:13, 25/11/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кому нужна приватность вообще не стоит выходить в интернет
     

  • 1.5, gegMOPO4 (ok), 15:59, 25/11/2010 [ответить]  
  • +/
    Как на серверах скажется необходимость шифровать статический контент?
     
  • 1.7, Толя Вихров (ok), 16:26, 25/11/2010 [ответить]  
  • +/
    Хорошая штука. Пользуюсь с момента выхода - _ни_одной_претензии_.
     
  • 1.8, Эргил (?), 09:16, 26/11/2010 [ответить]  
  • +/
    MailYandex.xml если кому надо и лень написать три строчки ))

    <ruleset name="Mail.Yandex">
      <target host="mail.yandex.ru" />

      <rule from="^http://mail\.yandex\.ru/" to="https://mail.yandex.ru/"/>
    </ruleset>

    вроде работает :)

     
  • 1.9, Аноним (-), 11:20, 26/11/2010 [ответить]  
  • +/
    Проблема в том, что не все владельцы сайтов предусматривают возможность работы с ними через https (думая, видимо, что это удел всяких банков), а те, которые позволяют, почему то (может по оценкам производительности) эту возможность не афишируют. Например вот кто знает о https://secure.mail.ru/ ?

    p.s. Предлагаю администратору opennet.ru тоже сделать опциональный доступ через https.

    p.p.s А давайте скинемся на сертификат на домен *.opennet.ru?

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру