HTTPS Everywhere é uma extensão de navegador, uma colaboração entre o The Tor Project e a Electronic Frontier Foundation, que automatiza solicitações de reescrita de URLs HTTP para a alternativa HTTPS segura, se disponível. Aparentemente, existe há cerca de uma década, mas nunca esteve no meu radar até que alguém recentemente perguntou sobre isso. Tentar pesquisá-lo produziu uma mistura de informações.
Independentemente da necessidade, não está claro o quão útil é "pronto para uso". Vários artigos referem-se à necessidade de complementar os padrões com listas de permissões e regras para obter todos os benefícios. Portanto, implementá-lo parece não ser uma tarefa trivial.
Pelo menos uma vez, uma parte substancial dos sites da Web era somente HTTP, portanto, o uso desse software poderia fornecer apenas benefícios limitados. Parece que os sites que lidam com dados pessoais confidenciais mudaram para apenas HTTPS. O Google implementou várias medidas para incentivar a conversão de sites para HTTPS. Não está claro o tamanho do problema que o HTTP ainda é (ou se ainda é, se o problema está desaparecendo rapidamente).
Também não está claro se os sites que estão convertendo para HTTPS estão retendo os links HTTP apenas para visitantes legados e redirecionando automaticamente para o site HTTPS.
Os principais navegadores parecem ter incorporado lógica para preferir sites HTTPS quando disponíveis ou estão em processo de implementação. Pelo menos o Google (não vi nada sobre outros mecanismos de pesquisa) tem um programa com o mesmo nome (não está claro se é realmente o mesmo produto) para tentar automaticamente uma conexão HTTPS nas pesquisas.
Há cerca de três anos, havia artigos sobre "por que você precisa instalar o HTTPS Everywhere". Vários artigos mais recentes sugeriram que as pessoas deveriam parar de sugerir que as pessoas instalem esse software. A essência parece estar relacionada a navegadores que já duplicam a funcionalidade.
Portanto, não está claro se o HTTP ainda é um problema substancial que precisa de uma solução e, em caso afirmativo, se o software que tenta os links HTTPS primeiro pode resolver o que resta dele. Toda essa questão foi superada pelos eventos?
Estou procurando contexto em vez de opinião (ou seja, os fatos que descrevem a situação atual em vez de opinião sobre o quão bom ou ruim é, ou se eu preciso do software). Por exemplo, os principais navegadores agora fornecem o remédio para o qual o HTTPS Everywhere foi desenvolvido? O HTTP agora está virtualmente limitado a sites onde não há dados pessoais? Existe regulamentação do governo ou do setor que visa tornar isso um problema? Em outras palavras, os tipos de informações objetivas que permitirão a mim (e a outros) entender o estado atual das coisas para formar minha própria opinião e determinar a relevância para mim.
HTTPS Everywhere certamente costumava ser mais necessário durante os dias de conteúdo misto e configurações de site indiferentes. A web certamente está mais madura hoje em dia, com tecnologias como HSTS que podem ser usadas por qualquer site, e fixação de chave pública para os maiores players (agora obsoleto em favor da Transparência de Certificados - obrigado a Justin por me informar).
Portanto, a utilidade da extensão depende muito do seu caso de uso individual. Fazer regras personalizadas para sites que atendem HTTP e HTTPS é algo em que a extensão se destaca, e não conheço nenhuma outra que faça um trabalho semelhante. Mesmo em situações em que um site não oferece suporte a HTTPS, a extensão garantirá que todas as referências a domínios de terceiros, como CDNs, sejam atualizadas para HTTPS, mesmo que a referência original seja neutra em termos de protocolo.
Falando como colaborador anterior do conjunto de regras do HTTPS Everywhere, tenho o seguinte a oferecer.
O projeto HTTPS Everywhere testa periodicamente todas as suas regras de reescrita e desativa aquelas que falham por qualquer motivo. Isso garante uma resposta relativamente rápida às alterações nas configurações do site, mas pode levar à desativação de uma parte significativa dos conjuntos de regras, a menos que seja gasto um esforço significativo de manutenção. As sugestões de que os conjuntos de regras centrais devem ser suplementados surgem principalmente da ignorância de que esses conjuntos de regras centrais podem e devem ser corrigidos. É uma questão de disponibilidade voluntária.
Um progresso significativo foi feito na mudança da Web para somente HTTPS, mas muitos sites ainda estão configurados incorretamente e muitos outros não implementaram a proteção crucial de pré-carregamento HSTS necessária para evitar ataques de primeira conexão. Os sites que implementam essa proteção são logo removidos dos conjuntos de regras do HTTPS Everywhere.
A tecnologia do navegador da Web é muito útil, mas é bom ter qualquer coisa que eles façam além da lista de pré-carregamento do HSTS. O HTTPS Everywhere fornece um paliativo para sites que não ativaram o HSTS por meio do navegador e precisam essencialmente de uma configuração de HSTS personalizada mantida pela comunidade.
Resumindo, não faz mal mantê-lo instalado. Aguente isso por mais alguns anos e espero que tudo isso se torne redundante.
Embora a conscientização aprimorada de HTTPS e HSTS certamente tenha avançado os padrões de segurança, ainda há uso para a extensão HTTPS Everywhere:
O HSTS é ótimo para proteger contra ataques de downgrade de HTTP, mas uma coisa a notar é que ele é baseado em um modelo de confiança no primeiro uso. Isso significa que sua primeira conexão com o site deve ser por meio de HTTPS ou então a proteção HSTS pode ser comprometida (por exemplo, um redirecionamento HTTP para HTTPS 301 é uma janela de oportunidade para um ataque).
O HSTS normalmente protege contra isso com a lista de pré-carregamento HTST, uma lista de domínios incorporada ao navegador que força a primeira conexão a usar apenas HTTPS para esses sites. No entanto, entrar na lista (e esperar que a alteração seja aplicada nos navegadores) leva algum tempo e nem todos os sites se preocupam em se registrar. É aqui que a extensão do navegador ajuda, garantindo que todas as primeiras conexões sejam feitas apenas por HTTPS.
Outro caso menor é quando o HTTPS do site está localizado em um caminho diferente do usual. Por exemplo, um site pode ter http://www.example enquanto seu site seguro é https://secure.example . O HTTPS Everywhere mantém um banco de dados de domínios para garantir que você esteja indo para a URL correta para HTTPS.
Nota de rodapé: a fixação de chave pública também ajuda, mas até o Chrome decidiu removê-la devido às baixas taxas de adoção e ao potencial de ser uma arma de fogo.
Percebi que ainda existem alguns sites com suporte a https, mas que não redirecionam o tráfego http para https. A extensão não é tão útil quanto costumava ser. Alguns anos atrás, sites como youtube, wikipedia e reddit tinham suporte a https, mas o padrão era http. O HTTPS em todos os lugares resolveu isso e ainda está resolvendo o problema para o pequeno punhado de sites que ainda são padronizados para http, mas têm suporte a https.
Isso certamente será controverso, mas mesmo assim é como eu vejo...
Há um pouco de mal-entendido na necessidade de HTTPS, que provavelmente foi espalhado deliberadamente. Como em toda meia-verdade, há alguma verdade nos argumentos, mas também um monte de mentiras.
HTTPS (ou TLS) tem algumas propriedades muito úteis e desejáveis (autenticação e confidencialidade) que são absolutamente obrigatórias para alguns (pense em serviços bancários) e indiscutivelmente necessárias para alguns, talvez a maioria dos serviços. Qualquer coisa que contenha dados de identificação pessoal, basicamente.
Sendo assim, há muitas coisas para as quais o HTTPS é totalmente desnecessário e, por outro lado, o HTTPS usado incorretamente , ou seja, com conteúdo misto, pode ser bastante inseguro (quase como nenhum HTTPS), que foi a justificativa para o HTTPS em todos os lugares o primeiro lugar. E sim, à luz de alguns sites da época que realmente ofereciam um tipo de serviço HTTPS obrigatório com conteúdo misto, certamente tinha algum mérito.
Isso e, é claro, há uma boa quantidade de paranóia que algumas pessoas têm e que está sendo ativamente promovida, sobre o mundo inteiro realmente estar interessado em cada coisinha sem importância nas vidinhas sem importância de todos. Com certeza, depois de postar tudo o que você fez hoje (com fotos e geotag!) No Instagram, onde literalmente o mundo inteiro pode ler, bom trabalho por ter feito isso com segurança, por meio de um canal criptografado. Além disso, é importante que ninguém descubra o que você faz na internet em geral. Isso, e há essa conspiração onde eles alteram artigos de notícias e alimentam você com informações falsas para, uh... eu não sei para quê (na verdade, há algunsverdade nisso também, porque é exatamente o que, por exemplo, o Google faz - apenas em um nível diferente, o que está sendo alterado não é o conteúdo real, mas qual conteúdo você está sendo mostrado, mas isso independentemente do uso de HTTPS) . A bala de prata HTTPS evita todas essas coisas ruins! Então, claramente, tudo precisa ser HTTPS/TLS.
Independentemente disso, mesmo quando usado corretamente , o HTTPS ainda falha em fornecer o serviço que você deseja. Por um motivo, toda a cadeia de certificados funciona com base na suposição de que você pode "confiar" em alguém (digamos, Comodo) que ganha dinheiro com a venda de certificados, sem realmente ter um motivo para confiar neles. E então, não apenas governos, mas também grandes empresas (e escolas, antivírus e quem sabe quem mais...) subvertem ativamente a cadeia de certificados instalando certificados raiz com o único propósito de, bem, efetivamente quebrar o sistema.
Então, não, as comunicações não são garantidas como confidenciais e não, elas não sãoautenticado de forma confiável. Não tanto quanto você pensaria, de qualquer maneira. Usando o laptop do seu empregador? Usando o computador do seu filho? Causa perdida. Antivírus instalado no seu computador? Todas as apostas estão abertas.
Mas pelo menos você sabe que um site é seguro, a coisa verde no seu navegador informa isso e avisa sobre sites arriscados. Certo, todos podem obter um certificado não verde de graça (evitando o aviso assustador) e um certificado verde por muito pouco dinheiro. Não tem absolutamente nenhum significado.
Espero sinceramente que você tenha o TLS ativado para acessar sua conta do Gmail também. Porque, você sabe, isso o torna seguro , você não quer que alguém na linha leia seus e-mails, não é? Com certeza, o Google nãoleia seus e-mails totalmente não criptografados enquanto eles são armazenados em seu servidor. Com certeza, sendo uma empresa dos EUA, eles não fornecerão o conteúdo a uma organização governamental específica.
Agora, a verdadeira razão pela qual você deve ter HTTPS em todos os lugares é que empresas como Google, Microsoft ou Amazon, e com elas todos os provedores que vendem largura de banda, querem isso.
Eles não querem que todos e suas avós configurem um computador de cartão de crédito como um proxy da Web transparente, que não apenas reduz o consumo de largura de banda armazenando recursos em cache, mas também filtra o material de publicidade e rastreamento. Claro, você sempre pode adicionar um plug-in de navegador que faz a mesma coisa. Exceto, você deve mantê-lo em todos os computadores que você tem em sua casa, e em alguns (Fire TV) é totalmente impossível sem tornar o dispositivo inutilizável, ou você deve fazer root (pense em um telefone Android), o que também não é necessariamente destruição -free (muito obrigado pelo Samsung Knox, tão incrível).
Felizmente, você pode acabar com a porcaria globalmente, para todos os dispositivosdentro da sua rede tendo um proxy transparente logo atrás do seu modem cabo/dsl, que custa 20€ e 3 minutos de configuração. Nossa, que catástrofe! Você deve baixar exatamente a versão que eles desejam (incluindo "personalização") e quando eles desejam, incluindo todos os beacons e outros enfeites. Essa é a verdadeira razão pela qual você precisa de HTTPS em todos os lugares.
Ironicamente, as empresas que promoveram o HTTPS e enfatizaram como, por exemplo, o TLS não apenas oculta o conteúdo real, mas também a URL exata em que você clicou (como )
http://somesite.com/dirty_porn_pic.jpge tal... seu sistema, identifique você, mantenha um histórico infinito, rastreie cada clique que você fizer e colete todas as informações possíveis, incluindo onde e quando você vai e seu batimento cardíaco. Ou, o conteúdo de qualquer arquivo em seu computador. Você já se perguntou como a Amazon faz isso para que eles acidentalmente recomendem XYZ em seu PC depois que você pesquisou XYZ no Google em seu telefone cinco minutos antes? Empresa diferente, dispositivo diferente, supostamente não é possível saber que ambos os dispositivos pertencem à mesma pessoa. EUde fato me perguntei como isso é feito, já que, no meu entendimento, o que eles precisam fazer para conseguir isso certamente não está em conformidade com a lei (pelo menos na UE). Mas, aparentemente, isso não é um obstáculo.Na verdade, o HTTPS ajuda a fazer todas essas coisas legítimas, fornecendo uma falsa sensação de segurança, obscurecendo o que está sendo enviado e não fazendo mais as pessoas perguntarem: "Ei, o que é esse tráfego criptografado vindo do meu dispositivo!? " . Porque, você sabe, todo o tráfego deve ser criptografado, isso é bom. Coisas criptografadas não são suspeitas, provavelmente são inofensivas. Ninguém está escondendo nada.
Sempre pensei que o HTTPS Everywhere foi desenvolvido para evitar ataques SSL-strip , mas talvez isso seja apenas um efeito colateral. SSL-strip ainda é um problema e com HTTPS Everywhere você pode evitá-lo.
Se um invasor conseguir induzir o usuário a usar HTTP na primeira solicitação, ele poderá interceptar a comunicação, usar HTTPS para entrar em contato com o servidor, modificar a resposta e retorná-la ao usuário. É possível, por exemplo, modificar todos os links no resultado para que eles não usem mais SSL ou podem ser reescritos para entrar em contato com uma url HTTPS que está sob controle do invasor.
É aqui que entra o HTTPS em todos os lugares, essa primeira solicitação HTTP seria executada como HTTPS, portanto, um invasor não tem chance de interceptar o tráfego.
A partir de agosto de 2021, o Firefox o incorporou ao navegador e o Chrome o terá nos próximos meses. No firefox, você precisa acessar suas preferências para ativá-lo (está desativado por padrão).
Portanto, você não precisa mais dessa extensão.
Mas você provavelmente deve procurar extensões como
origem ublock e
vestígio
para melhor proteção.