sobota, 22 czerwca 2013

HTTPS Everywhere/Force-TLS - wymuszanie protokołu HTTPS na stronach internetowych


Niektóre strony internetowe chociaż mają możliwość korzystania (np. operacja logowania) z protokołu szyfrowanego, często korzystają z zwykłego HTTP. Protokół  HTTPS różni się tym od HTTP  tym że tekst do komunikacji klient<->serwer szyfruje  za pomocą protokołu SSL.  Co zapobiega  przechwytywaniu i zmienianiu przesyłanych danych, a tym samym zwiększa bezpieczeństwo logowania.
HTTPS Everywhere/Force-TLS to dodatki do przeglądarki Firefox (HTTPS Everywhere ma odmianę działającą na przeglądarce Chrome) dzięki którym wymusimy  korzystanie na strona internetowych po szyfrowanym protokole HTTPS.
Oczywiście żeby taka operacja się powiodła serwer musi obsługiwać opcję protokołu HTTPS!



HTTPS Everywhere

HTTPS Everywhere obsługuje standardowo wiele popularnych stron internetowych, dla innych sami  możemy tworzyć reguły. Jak to robić można przeczytać TUTAJ
Wtyczka ta posiada też dodatkową opcję o nazwie Decentralized SSL Observatory, która polega na Ostrzeganiu  użytkownika przed odwiedzeniem strony internetowej, która  posiada dziury w bezpieczeństwie. Funkcja ta ostrzega też przed stronami, które mają podrobiony certyfikat SSL.

Ustawienia reguł.



Opcje dostępne spod ikonki na pasku.

SSL Observatory.
Opcje SSL Observatory.

Wtyczkę możemy pobrać TUTAJ

Force-TLS

Ta wtyczka różni się od poprzedniej tym że opiera się o działanie użytkownika,  który określa miejsca, z których chce uzyskać dostęp za pośrednictwem bezpiecznego połączenia HTTPS. Czyli krótko mówiąc nie ma wbudowanych reguł. 

Dodawanie reguły- krok 1.
 
Dodawanie reguły- krok 2. 

Wtyczkę możemy pobrać TUTAJ

Trzeba też pamiętać że wtyczki te chociaż w znaczącym stopniu podnoszą poziom bezpieczeństwa i zapewniają mniejsze ryzyko podejrzenia lub podmienienia danych logowania, to nie zapewniają tego w 100% procentach i jakieś ryzyko utraty prywatności zostaje i trzeba się z tym liczyć!




Brak komentarzy:

Prześlij komentarz