Paksa Chrome untuk mencoba HTTPS alih-alih HTTP jika memungkinkan?

Banyak situs web menawarkan keduanya, HTTP dan HTTPS, misalnya, http://stackoverflow.com dan https://stackoverflow.com

Apakah ada cara untuk memaksa Chrome untuk mencoba HTTPS terlebih dahulu sebelum HTTP ketika saya hanya mengetik stackoverflow.comdi bilah alamat?

google-chrome https

— kiewik
sumber

perhatikan, beberapa situs menghasilkan konten yang berbeda dengan protokol yang berbeda.

— 把友情留在无盐

Itu tidak akan menambah banyak keamanan karena penyerang dapat memicu fallback ke http dengan mudah. Jika Anda benar-benar menginginkan keamanan tambahan, browser harus mengingat domain mana yang sebelumnya berfungsi di https dan tidak secara otomatis kembali ke http di situs di mana https berfungsi di masa lalu. (Itu tidak akan seketat HSTS, karena Anda masih bisa mengetik http://dan menggunakan http:tautan secara manual .)

— kasperd

@soubunmei saya ingin tahu. Apakah Anda punya contoh tentang itu?

— paradroid

@paradroid secara teori dimungkinkan, namun saya akan terkejut jika ada yang melakukan itu dalam praktek (lihat Anda dapat menambahkan port ke konfigurasi vhost Anda) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane

Jawaban:

Anda dapat mencoba HTTPS Everywhere extension Chrome ini.

— paradroid
sumber

Ini tampaknya merupakan ekstensi dengan lebih banyak pengguna dan kode sumber terbuka. Cobalah.

— Kiewic

Ini persis hal pertama yang muncul di benak saya ketika saya membaca judul ini. Tetapi perlu diingat bahwa itu dapat merusak beberapa hal. Jika ia meminta halaman dengan HTTPS dan berfungsi, tetapi untuk beberapa alasan aneh itu tidak dapat menggunakan HTTP untuk terhubung ke halaman menggunakan XHR, maka Anda akan dibiarkan dengan halaman kereta.

— Ismael Miguel

@IsmaelMiguel yang mungkin merupakan penafian yang baik untuk ekstensi apa pun yang mengeraskan browser Anda; peningkatan keamanan biasanya datang dengan mengorbankan beberapa kegunaan. IMO "block-by-default" dengan opsi untuk mengaktifkan jika Anda merasa aman jauh lebih baik daripada alternatifnya, tetapi memang membutuhkan kesadaran pengguna akhir.

— Mike Ounsworth

@MikeOunsworth Kesadaran seperti itu hampir mendekati nol untuk sebagian besar pengguna. Sebagian besar hanya membaca "peningkatan keamanan dan privasi" dan langsung menggunakannya. Kemudian mereka menyalahkan perpanjangan untuk ini. Tapi tetap saja, sebaiknya menambahkannya di sini. Saya tahu bahwa Tor memiliki beberapa masalah dengan StackExchange.

— Ismael Miguel

Paksa HTTPS di Chrome

Google adalah salah satu perusahaan yang lebih agresif yang berupaya mewujudkan hal ini. Berikut adalah beberapa cara Anda dapat memaksa HTTPS di Chrome untuk memastikan penjelajahan Anda seaman mungkin.

Mulai Chrome dengan HTTPS

Chrome mendukung pengetikan chrome: // net-internal / ke bilah alamat Anda, dan kemudian sertakan item menu HSTS. HSTS adalah Keamanan Transportasi Ketat HTTPS: cara bagi situs untuk memilih untuk selalu menggunakan HTTPS. HSTS didukung di Google Chrome, Menggunakan pengaturan ini sekarang Anda dapat memaksa HTTPS untuk domain apa pun yang Anda inginkan, dan bahkan "menyematkan" domain itu sehingga hanya sebagian yang lebih tepercaya dari CA yang diizinkan untuk mengidentifikasi domain itu. Kelemahannya adalah bahwa jika Anda memaksa domain yang tidak memiliki SSL sama sekali, Anda tidak akan bisa sampai ke situs.

Chromium.org

Paksa HTTPS dengan ekstensi KB SSL Enforcer

Ekstensi ini akan memaksa HTTPS di Chrome untuk situs web yang mendukung, Ini tidak sepenuhnya aman terhadap Firesheep yang terkenal, tetapi sangat meminimalkan risiko. Karena keterbatasan Chrome KB Enforcer SSL mengalihkan halaman saat sedang memuat. Anda mendapatkan sekilas cepat dari halaman yang tidak terenkripsi, tetapi itu mengarahkan Anda secepat mungkin.

KB SSL Enforcer

Ekstensi HTTP untuk Memaksa HTTPS di Chrome

Menggunakan HTTP akan memaksa situs yang ditentukan untuk menggunakan HTTPS alih-alih HTTP. Muncul dimuat dengan dua situs yang ditentukan: Facebook dan Twitter. Seperti ekstensi sebelumnya, permintaan awal dikirim ke situs yang tidak menggunakan HTTPS.

Gunakan HTTPS

— 0m3r
sumber

Perhatikan bahwa keberadaan HSTS ditentukan oleh operator server, bukan klien.

— CVn

@ MichaelKjörling Sebenarnya, sebagian tergantung pada klien, karena mereka dapat memiliki daftar yang dimuat sebelumnya (seperti yang dijelaskan dalam tautan Chromium dalam jawabannya).

— Bruno