Chrome'u mümkün olduğunda HTTP yerine HTTPS denemeye zorla?

Birçok web sitesi hem http, hem de HTTPS sunmaktadır, örneğin, http://stackoverflow.com ve https://stackoverflow.com

Yalnızca stackoverflow.comadres çubuğuna yazdığımda Chrome'u HTTP'den önce HTTPS'yi denemeye zorlamanın bir yolu var mı ?

google-chrome https

— kiewic
kaynak

bazı sitelerin, farklı protokollerle farklı içerikler ürettiğini unutmayın.

— 盐

Çok fazla güvenlik sağlamaz çünkü bir saldırgan http'e kolayca geri dönüşü tetikleyebilir. Ek güvenliği gerçekten istiyorsanız, tarayıcının daha önce https üzerinde çalıştığını ve https'nin geçmişte çalıştığı sitelerde otomatik olarak http'e geri dönmediğini hatırlaması gerekir. (Bu HSTS kadar katı olmaz, çünkü hala manüel olarak link yazabilir http://ve kullanabilirsiniz http:.)

— kasperd

@soubunmei Merak ediyorum. Bunun bir örneğini aldın mı?

— paradroid

@paradroid teorik olarak mümkün, ancak pratikte birisi bunu pratikte yaptıysa şaşırdım (bkz. vhost yapılandırmanıza bir port ekleyebiliyorsunuz) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane,

Yanıtlar:

Bu HTTPS Everywhere Chrome uzantısını deneyebilirsiniz .

— Paradroid
kaynak

Bu, daha fazla kullanıcı ve açık kaynak kodunun uzantısı gibi görünüyor. Bir deneyin.

— kiewic

Bu, tam olarak bu başlığı okuduğumda aklıma ilk gelen şeydi. Ancak bazı şeyleri kırabileceğini unutmayın. HTTPS içeren bir sayfa isterse çalışır ve bazı garip nedenlerden dolayı, XHR kullanarak bir sayfaya bağlanmak için HTTP kullanamazsa, o zaman bir buggy sayfası kalır.

— Ismael Miguel

@IsmaelMiguel muhtemelen tarayıcınızı sertleştiren herhangi bir eklenti için iyi bir sorumluluk reddi; artan güvenlik genellikle bir miktar kullanılabilirlik pahasına gelir. IMO, "varsayılan olarak engelle" seçeneğinin, kendinizi güvende hissederseniz, alternatiften çok daha iyi olduğunu, ancak bazı son kullanıcı farkındalığı gerektirdiğinden emin olmanızı sağlar.

— Mike Ounsworth

@MikeOunsworth Böyle bir farkındalık çoğu kullanıcı için neredeyse sıfır değerde. Çoğu sadece "artan güvenlik ve gizlilik" okuyor ve doğrudan kullanmaya başlıyor. Sonra bunun için uzatma suçluyorlar. Fakat yine de, buraya eklemek iyi bir fikir olmalı. Tor'un StackExchange ile ilgili bazı sorunları olduğunu biliyorum.

— Ismael Miguel

Chrome'da HTTPS'yi Zorla

Google, bunun gerçekleşmesi için baskı yapan daha agresif şirketlerden biri. Göz atma işleminizin olabildiğince güvenli olmasını sağlamak için HTTPS'yi Chrome'da zorlayabilmenizin birkaç yolu.

HTTPS ile Başlangıç Kromu

Chrome, // net-internals / adres çubuğuna chrome yazmayı destekler ve ardından HSTS menü öğesini içerir. HSTS, HTTPS Sıkı Taşımacılık Güvenliğidir: sitelerin her zaman HTTPS kullanmayı seçmeleri için bir yoldur. HSTS Google Chrome'da desteklenmektedir, Bu ayarı kullanarak artık istediğiniz herhangi bir etki alanı için HTTPS'yi zorlayabilir ve bu etki alanını “sabitleyebilirsiniz”, böylece bu etki alanını tanımlamak için yalnızca daha güvenilir bir CA alt kümesine izin verilir. Dezavantajı, SSL olmayan bir alanı zorlarsanız, siteye ulaşamayacağınızdır.

Chromium.org

HTTPS'yi KB SSL Enforcer uzantısı ile zorla

Bu uzantı, HTTPS'yi Chrome'da destekleyen web siteleri için zorlar Chrome kısıtlamaları nedeniyle KB SSL Enforcer, yüklenirken sayfayı yönlendirir. Şifrelenmemiş sayfadan hızlı bir şekilde titriyorsunuz, ancak sizi olabildiğince çabuk yönlendirir.

KB SSL Enforcer

Chrome'da HTTPS'yi Zorlamak için HTTP uzantısı

HTTP kullan, tanımlı siteleri HTTP yerine HTTPS kullanmaya zorlar. İki tanımlı siteyle önceden yüklenmiş olarak geliyor: Facebook ve Twitter. Önceki uzantı gibi, ilk istek de HTTPS kullanmadan siteye gönderilir.

HTTPS kullan

— 0m3r
kaynak

HSTS'nin varlığının istemciye değil sunucu operatörü tarafından belirlendiğine dikkat edin.

— CVn

@ MichaelKjörling Aslında, kısmen müşteriye bağlıdır, çünkü önceden yüklenmiş listeler olabilir (cevaptaki Chromium bağlantısında açıklandığı gibi).

— Bruno,