Ist" HTTPS Everywhere " noch relevant?

Wenn ich als früherer Regelsatzmitarbeiter von HTTPS Everywhere spreche, habe ich Folgendes zu bieten.

• Das HTTPS Everywhere-Projekt testet regelmäßig alle seine Umschreibregeln und deaktiviert diejenigen, die aus irgendeinem Grund fehlschlagen. Dies gewährleistet eine relativ schnelle Reaktion auf sich ändernde Websitekonfigurationen, kann jedoch dazu führen, dass ein erheblicher Teil der Regelsätze deaktiviert wird, sofern kein erheblicher Wartungsaufwand erforderlich ist. Vorschläge, dass die zentralen Regelsätze sein sollten sie ergeben sich hauptsächlich aus der Unkenntnis, dass diese zentralen Regelsätze korrigiert werden können und sollten. Es ist eine Frage der freiwilligen Verfügbarkeit.

• Bei der Umstellung des Webs auf HTTPS-Only wurden erhebliche Fortschritte erzielt, aber viele Websites sind immer noch falsch konfiguriert, und viele weitere haben den entscheidenden HSTS-Vorladeschutz, der zur Verhinderung von Angriffen auf die erste Verbindung erforderlich ist, nicht implementiert. Websites, die diesen Schutz implementieren, werden kurz darauf von HTTPS Everywhere entfernt. regelsätze.

• Web-Browser-Technologie ist sehr nützlich, aber alles, was sie über die HSTS Preload-Liste tun, ist nur schön zu haben. HTTPS Everywhere bietet eine Stopgap für Websites, die HSTS nicht über den Browser aktiviert haben und im Wesentlichen eine benutzerdefinierte, von der Community verwaltete HSTS-Konfiguration benötigen.

Zusammenfassend schadet es nicht, es installiert zu halten. Tragen Sie noch ein paar Jahre damit und hoffentlich wird all dies überflüssig.

Während ein verbessertes Bewusstsein für HTTPS und HSTS sicherlich Sicherheitsstandards vorangebracht hat, gibt es immer noch Verwendung für die HTTPS Everywhere-Erweiterung:

HSTS eignet sich hervorragend zum Schutz vor HTTP-Downgrade-Angriffen, aber eine Sache zu beachten ist, dass es auf einem Trust on First Use-Modell basiert. Dies bedeutet, dass Ihre erste Verbindung zur Site über HTTPS erfolgen muss, da sonst der HSTS-Schutz beeinträchtigt werden kann (z. B. ist eine HTTP - zu-HTTPS-301-Umleitung ein Fenster der Gelegenheit für eine Angriff).

HSTS schützt normalerweise davor mit der HTST Preload List, einer Liste der im Browser integrierten Domänen, die die erste Verbindung zwingt, nur HTTPS für diese Sites zu verwenden. Das Aufrufen der Liste (und das Warten auf die Anwendung der Änderung in Browsern) dauert jedoch einige Zeit, und nicht jede Site registriert sich selbst. Hier hilft die Browsererweiterung, indem sichergestellt wird, dass alle ersten Verbindungen nur über HTTPS erfolgen.

Ein weiterer kleinerer Fall ist, wenn der HTTPS der Website befindet sich auf einem anderen Pfad als üblich. Zum Beispiel könnte eine Website http://www.beispiel während ihre sichere Seite auf https://secure.Beispiel. HTTPS Everywhere führt eine Datenbank mit Domänen, um sicherzustellen, dass Sie die richtige URL für HTTPS aufrufen.

Fußnote: Public Key Pinning hilft auch, aber selbst Chrome hat beschlossen, es wegen niedriger Adoptionsraten und des Potenzials, eine Fußwaffe zu sein, zu entfernen.

Ich habe festgestellt, dass es immer noch einige Websites gibt, die https unterstützen, aber keinen HTTP-Verkehr auf https umleiten. Die Erweiterung ist jedoch bei weitem nicht so nützlich wie früher. Vor einigen Jahren hatten Websites wie youtube, Wikipedia und reddit https-Unterstützung, standardmäßig jedoch http. HTTPS everywhere hat das gelöst und löst immer noch das Problem für die kleine Handvoll Websites, die immer noch standardmäßig http verwenden, aber https-Unterstützung haben.

Dies wird sicherlich als kontrovers kommen, aber dennoch ist es, wie ich es sehe...

Es gibt ein kleines Missverständnis in der Notwendigkeit von HTTPS, das höchstwahrscheinlich absichtlich verbreitet wurde. Wie bei jeder Halbwahrheit gibt es einige Wahrheit in den Argumenten, aber auch eine ganze Menge Lügen.

HTTPS (oder TLS) hat einige sehr nützliche und wünschenswerte Eigenschaften (Authentifizierung und Vertraulichkeit), die für einige absolut obligatorisch sind (denken Sie banking), und wohl notwendig für einige, vielleicht die Mehrheit der, Dienstleistungen. Grundsätzlich alles, was persönliche Identifikationsdaten enthält.
In diesem Fall gibt es viele Dinge, für die HTTPS völlig unnötig ist, und andererseits kann HTTPS, das unsachgemäß verwendet, dh mit gemischtem Inhalt, ziemlich unsicher sein (fast wie kein HTTPS), was die Rechtfertigung für HTTPS überall war. Und ja, im Lichte einiger Websites in den Tagen, die in der Tat angeboten eine obligatorische HTTPS Art von Service mit gemischten Inhalten, es sicherlich hatte einige Verdienste.

Das, und dann gibt es natürlich eine gute Menge an Paranoia, die manche Leute haben und die aktiv gefördert wird, darüber, dass die ganze Welt tatsächlich an jeder kleinen, unwichtigen Sache im unwichtigen kleinen Leben aller interessiert ist. Sicher genug, nachdem Sie alles gepostet haben, was Sie heute getan haben (mit Fotos und Geotag!) auf Instagram wo buchstäblich die die ganze Welt kann es lesen, gute Arbeit, so sicher getan zu haben, über einen verschlüsselten Kanal. Außerdem ist es wichtig, dass niemand erfährt, was Sie im Internet im Allgemeinen tun. Das, und es gibt diese Verschwörung, wo sie Nachrichtenartikel ändern und füttern Sie mit falschen Informationen zu, uh... Ich weiß nicht, wofür (eigentlich gibt es auch etwas Wahrheit, weil das genau das ist, was zB Google tut - nur auf einer anderen Ebene, was geändert wird, ist nicht der tatsächliche Inhalt, sondern welcher inhalt Sie werden überhaupt angezeigt, aber das ist unabhängig von HTTPS verwendet wird). Die silberne Kugel verhindert auch all diese schlechten Dinge! So klar muss alles HTTPS / TLS sein.

Selbst wenn HTTPS richtig verwendet wird, kann HTTPS immer noch nicht den gewünschten Dienst bereitstellen. Aus einem Grund geht die gesamte Zertifikatskette davon aus, dass Sie jemandem (z. B. Comodo)" vertrauen " können, der mit dem Verkauf von Zertifikaten Geld verdient, ohne tatsächlich einen Grund zum Vertrauen zu haben davon. Und dann, nicht nur Regierungen, sondern auch große Unternehmen (und Schulen, und Antivirus, und wer weiß, wer sonst...) aktiv die Zertifikatskette durch die Installation von Root-Zertifikaten für den einzigen Zweck der, gut, effektiv brechen das System.
Also, nein, Kommunikation ist nicht garantiert vertraulich, und nein, sie sind nicht zuverlässig authentifiziert. Jedenfalls nicht so viel, wie du denkst. Verwenden Sie den Laptop Ihres Arbeitgebers? Mit Ihrem Kind computer? Verlorene Ursache. Antivirus auf Ihrem computer installiert? Alle Wetten sind offen.
Aber zumindest wissen Sie, dass eine Website sicher ist, das grüne Ding in Ihrem Browser sagt es Ihnen und warnt vor riskanten Websites. Richtig, jeder kann kostenlos ein nicht grünes Zertifikat (Vermeidung der gruseligen Warnung) und ein Green-Badge-Zertifikat für sehr wenig Geld erhalten. Es hat absolut keine Bedeutung.
Ich hoffe ernsthaft, dass Sie TLS auch für den Zugriff auf Ihr Google Mail-Konto aktiviert haben. Weil, weißt du, das macht es sicher, Sie wollen nicht, dass jemand auf dem Draht Ihre Mails liest, oder? Sicher genug, Google liest Ihre völlig unverschlüsselten E-Mails nicht, während sie auf ihrem Server gespeichert sind. Sicher genug, als US-Unternehmen werden sie die Inhalte nicht einer bestimmten Regierungsorganisation zur Verfügung stellen.

Nun ist die real Grund, warum Sie HTTPS überall haben müssen, ist, dass Unternehmen wie Google, Microsoft oder Amazon, und mit ihnen alle Anbieter, die Bandbreite verkaufen, wollen dass.

Sie wollen nicht, dass jeder und ihre Großmutter einen Kreditkartencomputer als transparenten Webproxy einrichten, der nicht nur Ihren Bandbreitenverbrauch durch Zwischenspeichern von Ressourcen reduziert, sondern auch deren Werbung und Verfolgung herausfiltert. Sicher, Sie können immer ein Browser-Plugin hinzufügen, das dasselbe tut. Außer, Sie müssen es auf jedem Computer halten, die Sie in Ihrem Haus haben, und auf einigen (Feuer TV) ist es geradezu unmöglich, ohne das Gerät unbrauchbar zu machen, oder Sie müssen es rooten (denken Sie an Android Phone), was auch nicht unbedingt zerstörungsfrei ist (vielen Dank für Samsung Knox, so großartig).
Glücklicherweise können Sie den Mist weltweit für alle Geräte in Ihrem Netzwerk reduzieren, indem Sie einen transparenten Proxy direkt hinter Ihrem Kabel - /DSL-Modem haben, der Sie 20€ und 3 Minuten Setup kostet. Oh Teufel, was für eine Katastrophe! Sie sollen genau die gewünschte Version herunterladen (einschließlich "Personalisierung") und wann sie es wollen, einschließlich aller beacons und so weiter. Das ist also der true Grund, warum Sie überall HTTPS benötigen.

Ironischerweise verbergen die Unternehmen, die HTTPS beworben haben und betont haben, wie zB TLS nicht nur den tatsächlichen Inhalt verbirgt, sondern auch die genaue URL, auf die Sie geklickt haben (wie http://somesite.com/dirty_porn_pic.jpg) und dergleichen... in Wirklichkeit sie sind genau diejenigen, die zu jeder Länge gehen, um Ihr System zu fingerabdrücken, Sie zu identifizieren, eine unendliche Geschichte zu führen, jeden einzelnen Klick zu verfolgen und alle möglichen Informationen zu sammeln einschließlich, wohin Sie gehen und wann, und Ihr Herzschlag. Oder der Inhalt von einer beliebigen Datei auf Ihrem Computer. Haben Sie sich jemals gefragt, wie Amazon es macht, damit sie [[4]}zufällig [[5]} XYZ auf Ihrem PC empfehlen, nachdem Sie fünf Minuten zuvor bei Google nach XYZ auf Ihrem Telefon gesucht haben? Unterschiedliche Firma, anderes Gerät, man kann angeblich nicht wissen, dass beide Geräte derselben Person gehören. Ich habe mich tatsächlich gefragt, wie es gemacht wird, denn nach meinem Verständnis, was auch immer sie tun müssen, um das zu erreichen sicherlich ist nicht mit dem Gesetz konform (zumindest in der EU). Aber anscheinend ist das kein Hindernis.

Ich dachte immer, dass HTTPS Everywhere [[2]}entwickelt wurde, um SSL-Strip-Angriffe zu verhindern, aber vielleicht ist dies nur ein Nebeneffekt. SSL-Strip ist jedoch immer noch ein Problem und mit HTTPS Everywhere können Sie es verhindern.

Wenn ein Angreifer den Benutzer dazu verleiten kann, HTTP für die erste Anforderung zu verwenden, kann er die Kommunikation abfangen, HTTPS verwenden, um den Server zu kontaktieren, die Antwort zu ändern und an den Benutzer zurückzugeben. Es ist z. B. möglich, alle Links im Ergebnis so zu ändern, dass sie dies nicht tun verwenden Sie SSL nicht mehr, oder sie können neu geschrieben werden, um eine HTTPS-URL zu kontaktieren, die unter der Kontrolle des Angreifers steht.

Hier springt HTTPS-everywhere ein, diese erste HTTP-Anforderung wird als HTTPS ausgeführt, sodass ein Angreifer keine Chance hat, den Datenverkehr abzufangen.