10:42
22/6/2010

HTTPS Everywhere to rozszerzenie do przeglądarki Firefox, które umożliwia korzystanie ze stron internetowych po szyfrowanym protokole HTTPS. Dodatkiem zachwycają się prawie wszyscy, ale mało kto zwraca uwagę na to, że HTTPS Everywhere wcale nie zapewnia takiego bezpieczeństwa waszej prywatności, jak mogłoby się wydawać…

HTTPS nie jest lubiany bo…

Większość z serwerów ma tendencję do przerzucania użytkownika na HTTP zaraz po “bezpiecznym” zalogowaniu po HTTPS — oczywiście chodzi o koszty, bo SSL to więcej ruchu i większe zużycie zasobów serwera (ale także wolniejsze połączenie dla użytkownika). Dzięki dodatkowi HTTPS Everywhere na niektórych stronach użytkownikom Firefoksa może się udać (ale nie musi) pozostać w “bezpiecznym” połączeniu dłużej, niż tylko przez czas logowania się do serwisu.

HTTPS Everywhere, by EFF & TOR

Praca dodatku HTTPS Everywhere polega na automatycznej podmianie odwołań do protokołu HTTP na HTTPS (dotyczy to również przepisywania wszystkich linków w treści danej strony). Nie działa tu niestety żadna magia, i jeśli strona nie wspiera połączeń szyfrowanych (brak SSL na serwerze), to dodatek do niczego się nie przyda.

HTTPS Everywhere czy Nowhere?

Jak narazie, HTTPS Everywhere wspiera tylko kilka stron: Google Search, Wikipedia, Twitter, Facebook, The New York Times, The Washington Post, Paypal, EFF, Tor, Ixquick. Nie jest to dużo, ale można tworzyć własne regułki:

<ruleset name="EFF">
<exclusion pattern="^http://action\.eff\.org"/>
<rule from="^http://eff\.org" to="https://eff.org"/>
<rule from="^http://([^/:@]*)\.eff\.org" to="https://$1.eff.org"/>
</ruleset>

Działanie HTTPS Everywhere można z powodzeniem zastąpić odpowiednią konfiguracją innego dodatku dla Firefoksa – NoScripta. Nie ulega jednak wątpliwości, ze HTTPS Everywhere jest łatwiejszy w obsłudze ;)

HTTPS Everywhere to złudne bezpieczeństwo

Zanim zacznie się korzystać z HTTPS Everywhere warto zadać sobie pytanie — co chcę osiągnąć? Jeśli chesz się zabezpieczyć przed wyciekiem prywatnych informacji (np. tego, co ogladasz w sieci), to ci sie to nie uda będzie ci ciężko — pisaliśmy o tym wielokrotnie i jak na ironię, pisała też o tym ta sama organizacja, która jest odpowiedzialna za stworzenie HTTPS Everywhere (por. Internet cię śledzi i namierza — broń się!).

Jeśli z kolei chcesz się zabezpieczyć przed podsłuchaniem swojej transmisji do strony internetowej przez kolegę wiszącym na tym samym Wi-Fi, to lepiej się stuneluj (np. po SSH) — wtedy każdą stronę będziesz oglądał w połączeniu szyfrowanym, przynajmniej przez kilka pierwszych hopów ;-)

Nie zrozumcie mnie źle; cieszę się, że HTTPS Everywhere powstał, ale szczerze mówiąc trochę się dziwię, że EFF nadała temu dodatkowi taką, nazwijmy to delikatnie, trochę mylącą nazwę…

Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. Ten ruch jest jak zabawy polityków. Ot, pokazujemy, że coś robimy. A że nie ma to zbytnio wartości merytorycznej? Trudno, cóż zrobić.

    ;)

  2. Nie każdy musi umieć zestawić tunel a wtyczkę to może zainstalować niemal każdy.

  3. Ja ten ruch widze w kategori:
    Popatrzcie duze serwisy, wasi uzytkownicy chca czuc sie bezpiecznie i korzystac z HTTPS’a.
    Zalezy wam na uzytkownikach?
    To cos z tym zrobcie.

  4. Ale wtyczka nie rozwiązuje problemu, któremu zaradza tunelowanie…

    Osobiście nie rozumiem tej nagonki… przecież protokół httpS został stworzony do szyfrowania danych, które przesyła, a nie “ukrywania naszej działalności w sieci”.

    Każdy patrzy na to od strony “https nowhere”, ale przecież ten dodatek nie umożliwia magicznego szyfrowania wszędzie… Logicznym założeniem zważywszy na dorobek życiowy jest, “wszędzie, gdzie to jest możliwe”. Reklamy w tv tez traktujecie dosłownie? Jak Pan Marek Kondrat czyta bajeczki ING Banku Śląskiego?

    Plugin ten przełącza nas na httpS wszędzie tam gdzie to możliwe, ZWIĘKSZAJĄC bezpieczeństwo przesyłanych danych wiec w czym problem? Przecież nawet na stronie projektu jest informacja na ten temat.

  5. X: Dokładnie. Prawdę mówiąc, nie wiem, co bardziej akcentuje samo EFF wypuszczając ten dodatek, podsluch/szyfrowanie czy ochronę prywatności.

    Ja w pluginie nie widzę żadnego problemu. Ba, cieszę się że jest, ale ze względu na zboczenie zawodowe uważam, że warto podkreślić to, że wznoszony ostatnio na piedestały HTTPS nie jest lekarstwem na całe zło — zarówno z HTTPS jak i z samego dodatku trzeba korzystać ze świadomością, przed czym nas chroni, a przed czym nie.

  6. Czekam tylko na dodatek w stylu “przywraca komfort psychiczny kożystania z wersji beta produktu Gmail”, tylko że podmienia http:// na https:// i jeszcze dodaje jakiś fejkowy certyfikat “na zielono”

  7. Tyle ze po https nie dziala np. czat na facebooku, w momencie wlaczenia wtyczki dla fb nie mamy mozliwosc kozystania z czata :) Niestety nie wszyscy “chca” zeby wszystko bylo szyfrowane…

  8. Ja nie wiem czemu się tak czepiacie tej nazwy… “HTTPS Everywhere” przecież idealnie oddaje funkcjonalność tego dodatku ! Można z niego korzystać na lapku w wannie, dużym pokoju, jadąc pociągiem… ;)

  9. minimal2: przecież w dalszym ciągu możesz cieszyć się starym interfejsem GMAIL

  10. @Torwald – Tylko, znając życie, niektórzy pomyślą, że to taki nowy Tor, odpalą i dawaj na strony porno, a potem płacz, że wszystkie pluginy świata nie są panaceum na ludzką głupotę. Prawdę mówiąc sądzę, że ta wtyczka może przynieść więcej szkód niż pożytku (ale sam zainstalował, bo – co jak co – Ale całe siedzenie na PayPalu chciałbym mieć szyfrowane) ;)

  11. Dodatek śmieszny, bo działa tylko na kilku serwisach. Natomiast nie jest śmieszne że nas obywateli w każdej chwili może podsłuchiwać 12 różnych agencji i to bez żadnego pozwolenia. O ile się nie mylę https zabezpiecza w danej chwili łącze przed wtykaniem tych służb nosa do naszego prywatnego “talerza z zupą”.

  12. Link do artykulu o tunelowaniu przez SSH nie dziala, a chetnie bym poczytal:(

  13. […] też wspomnieć o dodatkach do Firefoksa (o ironio!): HTTPS Everywhere oraz Force TLS, które “chronią” nasze ciastka poprzez wymuszanie połączeń HTTPS z […]

  14. dodatek bardzo fajny szczególnie że można używać google przez https bo załóżmy że chciałbym znaleźć w internecie pompkę powiększającą penisa i dzięki temu dodatkowi mój ISP się o tym nie dowie.
    do Marcin 2010.06.23 11:51 | #
    dodatek nie jest śmieszny bo działa tylko na kilku serwisach, tylko pozostałe serwisy nie kupiły certyfikatu aby zapewnić przynajmniej to minimum prywatności swoim użytkownikom.

  15. […] poprzez stworzenie dodatku do Firefoksa o nazwie HTTPS Everywhere, o którym pisał np. niebiezpiecznik. Zadaniem dodatku jest wymuszanie wykorzystania https tam, gdzie tylko się da. Dodatek zamienia […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: