Bekerült a HUP.hu támogatás a HTTPS Everywhere-be

 ( trey | 2016. december 11., vasárnap - 10:04 )

Akik szeretnék a HUP-ot kizárólag HTTPS-en keresztül böngészni, azoknak jó hír lehet, hogy bekerült a HUP.hu ruleset az Electronic Frontier Foundation által karbantartott HTTPS Everywhere böngészőkiterjesztésbe. A HTTPS Everywhere egy Firefox, Chrome, Opera böngészőkiterjesztés, amely kikényszeríti a HTTPS-t támogató weboldalak felé a titkosított kommunikációt. A HUP hzsolt94 olvasónk által beküldött pull request-je (köszönet érte!) nyomán került be tegnap a HTTPS Everywhere Atlas-ba, így a következő kiadástól kezdve a kiterjesztés megfelelő használatához már nem lesz szükség saját ruleset helyi gépen való tárolására.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Az megoldható lenne, hogy alapértelmezésben a HTTPS verzió jöjjön be? A weboldalak ~70%-a HTTPS-t használ már, így nem hiszem, hogy túl sok mindenkit zárnánk ki a körből, a CPU terhelés- és a válaszidő növekedése pedig elenyésző.

--
The Elder Scrolls V: Skyrim

>Az megoldható lenne, hogy alapértelmezésben a HTTPS verzió jöjjön be?

Igen, úgy írod be a bukmárkba

--
és úgy nem fog működni a HUPmeme privoxy filter _se_

3 ember szavazott úgy, hogy nem tud HTTPS-t böngészni a munkahelyéről. Csak regisztrált olvasók tudnak szavazni. A szám jóval nagyobb is lehet, tekintve, hogy az olvasók jó része nem regisztrált. Őket kizárnád az oldalról?

--
trey @ gépház

Alapértelmezésben jöjjön a https és az a tömeg (3 ember) aki nem tud így böngészni, az beírja a http-t. Szerintem ez a normális, nem pedig az, hogy 3 emberért szívatod a többi ezret :)

De létezik olyan, hogy alapértelmezésben https jöjjön?

Ha beírod a böngészőbe protokoll nélkül a domaint, akkor http-vel fogja letölteni, szóval úgy lesz valamiből https, hogy vagy szándékosan eléírod, vagy a http kérésre a szerver átirányít. Ha pedig átirányít, akkkor az a három ember hiába irogatna http-t :)

Webszerver alapértelmezetten átirányít https-re http-ről.
Ha a kliens úgy jön, hogy http://hup.hu/?redirect_https=false akkor beállít egy cookie-t a web szerver.
Akinek van cookie-ja annál nincs átirányítás amúgy meg van.
Valami ilyesmi talán működhet.

♲♻♲

A cookie rossz ötlet, mert akkor nem lehet HSTS-t implementálni. Igazából ha nem akarod tilatni a http-t teljesen, akkor szerver oldalon csak rontani tudsz a helyzeten. Be kell írni - vagy könyvjelzőzni - a https-t, de igazából a hozzászólások közé bekerülő http linkek miatt úgyis csak a HTTPS Everywhere a valós megoldás.

(Egyébként szerintem csak 3 troll, csakazértis alapon kattintotta be a tiltják gombot Ma már teljesen standard dolog a https-only elérés.)

Ennyi ideje regisztrált felhasználó
11 év

Ez a néhány ember bizonyára már több weboldalnál is megtapasztalta, hogyha https van az URL előtt, akkor valamit tenniük kell, pl. TOR-t használni stb. Ezt a HUP-nál is meg tudnák csinálni. Ma már a weboldalak többsége ssl-t használ alapértelmezésként. 2016-ban már nem csak a HUP-nak (de a tematikájából adódón főleg a HUP-nak) illene alapértelmezetten ssl-t használnia.

Egyébként én sem hiszem el, hogy van itt olyan ember, akinek nem jön be az oldal https-en keresztül. Ez nagyon-nagyon valószerűtlen.

Jah, csak kérdés, hogy ahol munkahelyen nem működik a https, ott 1) Mennyire működne a tor, 2) Mennyire kevernék magukat gyanúba a próbálkozással

A kérdés valójában az, hogy miért dolgoznak még mindig ott. Mondjuk jogos, gondolom a profession.hu-n is https van, ezért nem tudják megnyitni. :)

Érdekes hozzászólás épp ennél a hírnél.

Használj HTTPS everywhere-t! ;)

Szerintem semmi gond nincs a hozzászólással. Logikus, hogy ne kelljen már egy 3rd party kiegészítő a biztonsághoz, ha az egyébként megoldható volna úgy, hogy az oldal nem hajlandó http-n bejönni (redirect, akármi)

Persze az már más tészta, ha egyes userek nem tudnak https-t böngészni, de megmondom őszintén ilyen lehetőség 2016-ban fel se merült bennem.

Mindig is szövetségesünk volt Eurázsia

érdekes, ezek szerint a git-et jobban szeretik, mint a mailt? Nov 23.-án 15:44-kor küldtem nekik: https://lists.eff.org/pipermail/https-everywhere-rules/2016-November/002312.html

( hzsolt94 | 2016. november 23., szerda - 23:45 )

jó tudni.

"3 ember szavazott úgy, hogy nem tud HTTPS-t böngészni a munkahelyéről" -> kíváncsi vagyok milyen más policyk vannak egy ilyen helyen, durva. kik voltak azok? ennyi erővel saját CA-t is lehetne rakni a gépekbe és úgy engedni a https-t.

Köszönjük!

Elég "érdekes" csapat, általában csak githubos PR-ekből dolgoznak összevissza sorrendben, és attól is függ az elvárt formátum hogy éppen ki olvasztja be a PR-t... Ez van, ezt kell szeretni. :-/

Kicsit off: A Https Everywhere-ben bakapcsoltam a „Minden titkosítatlan kérés tiltása” opciót. Határozottan „kisebb lett” az elérhető internet. :-)