Разработчик | Electronic Frontier Foundation и The Tor Project |
---|---|
Стабильная версия | 2020.8.13 / 13 августа 2020 г.; 2 месяца назад (13.08.2020) |
Репозиторий | |
Написано на | JavaScript, Python |
Платформа | Firefox для Android. Google Chrome. Mozilla Firefox. Opera. Vivaldi |
Тип | Расширение браузера |
Лицензия | GNU GPL v3 + (большая часть кода совместима с v2) |
Веб-сайт | www.eff.org / https-везде |
По состоянию на | апрель 2014 г. |
HTTPS Everywhere - это бесплатное расширение с открытым исходным кодом для браузера для Google Chrome, Mozilla Firefox, Opera, Brave, Vivaldi и Firefox для Android, который разработан совместно The Tor Project и Electronic Frontier Фонд (EFF). Он автоматически заставляет веб-сайты использовать более безопасное соединение HTTPS вместо HTTP, если они его поддерживают. Параметр «Зашифровать все подходящие сайты» позволяет одним щелчком заблокировать и разблокировать все соединения браузера без HTTPS.
HTTPS Everywhere был вдохновлен увеличением Google использование HTTPS и предназначен для автоматического принудительного использования HTTPS, когда это возможно. Код частично основан на реализации HTTP Strict Transport Security NoScript, но HTTPS Everywhere призван быть проще в использовании, чем функция принудительного HTTPS NoScript, которая требует от пользователя вручную добавлять сайты в список. EFF предоставляет пользователям информацию о том, как добавлять наборы правил HTTPS в HTTPS Everywhere, а также информацию о том, какие веб-сайты поддерживают HTTPS.
A общедоступная бета-версия HTTPS Everywhere для Firefox была выпущена в 2010 году, а версия 1.0 была выпущена в 2011 году. Бета-версия Chrome была выпущена в феврале 2012 года. В 2014 году была выпущена версия для телефонов Android.
SSL Observatory - это функция HTTPS Everywhere, представленная в версии 2.0.1, которая анализирует сертификаты открытых ключей, чтобы определить, были ли скомпрометированы центры сертификации и уязвим ли пользователь для Атаки типа "злоумышленник посередине". В 2013 году ICANN Консультативный комитет по безопасности и стабильности (SSAC) отметил, что набор данных, используемый Обсерваторией SSL, часто рассматривал промежуточные органы как разные объекты, таким образом увеличивая количество центров сертификации.. SSAC раскритиковал SSL Observatory за потенциально существенное занижение сертификатов внутренних имен и отметил, что он использовал набор данных с 2010 года.
Обновление до версии 2018.4.3, выпущенное 3 апреля 2018 вводит функцию «Постоянное обновление набора правил». Чтобы применить актуальные https-правила, эта функция обновления выполняет одно сопоставление правил в течение 24 часов. Веб-сайт под названием https://www.https-rulesets.org/ был создан EFF для этой цели. Эту функцию автоматического обновления можно отключить в настройках надстройки. До механизма обновления наборы правил обновлялись только через обновления приложений. Даже после того, как эта функция была реализована, все еще есть связанные наборы правил, поставляемые в составе обновлений приложений.
Два исследования рекомендовали встроить функциональность HTTPS Everywhere в браузеры Android. В 2012 году Эрик Петтплейс описал его как «возможно, лучший ответ на атаки в стиле Firesheep, доступные для любой платформы». В 2011 году Винсент Тубиана и Винсент Вердо указали на некоторые недостатки надстройки HTTPS Everywhere, в том числе на то, что список сервисов, поддерживающих HTTPS, необходимо поддерживать, и что некоторые сервисы перенаправляются на HTTPS, хотя они еще не доступны в HTTPS, запрет на доступ пользователя расширения к услуге. Другие критические замечания заключаются в том, что пользователи могут быть введены в заблуждение, полагая, что если HTTPS Everywhere не переключает сайт на HTTPS, это потому, что у него нет версии HTTPS, хотя может быть, что менеджер сайта не отправил набор правил HTTPS в EFF.. Кроме того, соединение с SSL Observatory можно использовать для отслеживания сайтов, которые посещает пользователь.