Bekerült a HUP.hu támogatás a HTTPS Everywhere-be

Titkosítás, biztonság, privát szféra

Akik szeretnék a HUP-ot kizárólag HTTPS-en keresztül böngészni, azoknak jó hír lehet, hogy bekerült a HUP.hu ruleset az Electronic Frontier Foundation által karbantartott HTTPS Everywhere böngészőkiterjesztésbe. A HTTPS Everywhere egy Firefox, Chrome, Opera böngészőkiterjesztés, amely kikényszeríti a HTTPS-t támogató weboldalak felé a titkosított kommunikációt. A HUP hzsolt94 olvasónk által beküldött pull request-je (köszönet érte!) nyomán került be tegnap a HTTPS Everywhere Atlas-ba, így a következő kiadástól kezdve a kiterjesztés megfelelő használatához már nem lesz szükség saját ruleset helyi gépen való tárolására.

De létezik olyan, hogy alapértelmezésben https jöjjön?

Ha beírod a böngészőbe protokoll nélkül a domaint, akkor http-vel fogja letölteni, szóval úgy lesz valamiből https, hogy vagy szándékosan eléírod, vagy a http kérésre a szerver átirányít. Ha pedig átirányít, akkkor az a három ember hiába irogatna http-t :)

Webszerver alapértelmezetten átirányít https-re http-ről.
Ha a kliens úgy jön, hogy http://hup.hu/?redirect_https=false akkor beállít egy cookie-t a web szerver.
Akinek van cookie-ja annál nincs átirányítás amúgy meg van.
Valami ilyesmi talán működhet.

♲♻♲

A cookie rossz ötlet, mert akkor nem lehet HSTS-t implementálni. Igazából ha nem akarod tilatni a http-t teljesen, akkor szerver oldalon csak rontani tudsz a helyzeten. Be kell írni - vagy könyvjelzőzni - a https-t, de igazából a hozzászólások közé bekerülő http linkek miatt úgyis csak a HTTPS Everywhere a valós megoldás.

(Egyébként szerintem csak 3 troll, csakazértis alapon kattintotta be a tiltják gombot Ma már teljesen standard dolog a https-only elérés.)

Ez a néhány ember bizonyára már több weboldalnál is megtapasztalta, hogyha https van az URL előtt, akkor valamit tenniük kell, pl. TOR-t használni stb. Ezt a HUP-nál is meg tudnák csinálni. Ma már a weboldalak többsége ssl-t használ alapértelmezésként. 2016-ban már nem csak a HUP-nak (de a tematikájából adódón főleg a HUP-nak) illene alapértelmezetten ssl-t használnia.

Egyébként én sem hiszem el, hogy van itt olyan ember, akinek nem jön be az oldal https-en keresztül. Ez nagyon-nagyon valószerűtlen.

Szerintem semmi gond nincs a hozzászólással. Logikus, hogy ne kelljen már egy 3rd party kiegészítő a biztonsághoz, ha az egyébként megoldható volna úgy, hogy az oldal nem hajlandó http-n bejönni (redirect, akármi)

Persze az már más tészta, ha egyes userek nem tudnak https-t böngészni, de megmondom őszintén ilyen lehetőség 2016-ban fel se merült bennem.

( szegecs | 2016. 12. 11., v – 09:20 )

Mindig is szövetségesünk volt Eurázsia

( m.informatikus | 2016. 12. 11., v – 12:04 )

érdekes, ezek szerint a git-et jobban szeretik, mint a mailt? Nov 23.-án 15:44-kor küldtem nekik: https://lists.eff.org/pipermail/https-everywhere-rules/2016-November/00…

( hzsolt94 | 2016. november 23., szerda - 23:45 )

jó tudni.

"3 ember szavazott úgy, hogy nem tud HTTPS-t böngészni a munkahelyéről" -> kíváncsi vagyok milyen más policyk vannak egy ilyen helyen, durva. kik voltak azok? ennyi erővel saját CA-t is lehetne rakni a gépekbe és úgy engedni a https-t.

Köszönjük!

( ironcat | 2016. 12. 14., sze – 12:42 )

Kicsit off: A Https Everywhere-ben bakapcsoltam a „Minden titkosítatlan kérés tiltása” opciót. Határozottan „kisebb lett” az elérhető internet. :-)