Forza Chrome a provare HTTPS anziché HTTP quando possibile?

Molti siti Web offrono sia HTTP che HTTPS, ad esempio http://stackoverflow.com e https://stackoverflow.com

Esiste un modo per forzare Chrome a provare HTTPS prima di HTTP quando scrivo solo stackoverflow.comnella barra degli indirizzi?

google-chrome https

— kiewic
fonte

si noti che alcuni siti producono contenuti diversi con protocolli diversi.

— 把友情留在无盐

Non aggiungerà molta sicurezza perché un utente malintenzionato può attivare un fallback su http abbastanza facilmente. Se vuoi davvero la sicurezza aggiuntiva, il browser deve ricordare quali domini precedentemente funzionavano su HTTPS e non ricorrere automaticamente a http su siti in cui HTTPS funzionava in passato. (Non sarebbe un severo come HSTS, perché è ancora possibile digitare http://e utilizzare manualmente i http:collegamenti.)

— Kasperd,

@soubunmei Sono curioso. Ne hai qualche esempio?

— paradroid

@paradroid è teoricamente possibile, tuttavia sarei sorpreso se qualcuno lo facesse in pratica (vedi puoi aggiungere una porta alla configurazione del tuo vhost) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane,

Risposte:

Potresti provare questa estensione HTTPS Everywhere per Chrome.

— Paradroid
fonte

Questa sembra essere l'estensione con più utenti e codice open source. Dare una prova.

— kiewic,

Questa è stata esattamente la prima cosa che mi è venuta in mente quando ho letto questo titolo. Ma tieni presente che potrebbe rompere alcune cose. Se richiede una pagina con HTTPS e funziona, ma per qualche strana ragione non può utilizzare HTTP per connettersi a una pagina tramite XHR, allora ti verrà lasciata una pagina con errori.

— Ismael Miguel,

@IsmaelMiguel è probabilmente un buon disclaimer per qualsiasi estensione che indurisca il tuo browser; una maggiore sicurezza di solito viene a scapito di una certa usabilità. L'IMO "blocco per impostazione predefinita" con l'opzione per abilitare se ti senti sicuro è molto meglio dell'alternativa, ma richiede una certa consapevolezza dell'utente finale.

— Mike Ounsworth,

@MikeOunsworth Tale consapevolezza è quasi nulla per la maggior parte degli utenti. La maggior parte legge solo "maggiore sicurezza e privacy" e inizia subito ad usarla. Quindi danno la colpa all'estensione per questo. Tuttavia, dovrebbe essere una buona idea aggiungerlo qui. So che Tor ha dei problemi con StackExchange.

— Ismael Miguel,

Forza HTTPS in Chrome

Google è una delle aziende più aggressive che spingono affinché ciò accada. Ecco diversi modi per forzare HTTPS in Chrome per garantire che la tua navigazione sia il più sicura possibile.

Avvio di Chrome con HTTPS

Supporto Chrome digitando chrome: // net-internals / nella barra degli indirizzi, quindi includi la voce di menu HSTS. HSTS è HTTPS Strict Transport Security: un modo per i siti di scegliere di utilizzare sempre HTTPS. HSTS è supportato in Google Chrome, utilizzando questa impostazione ora è possibile forzare HTTPS per qualsiasi dominio desiderato e persino "bloccare" quel dominio in modo che solo un sottoinsieme più affidabile di CA sia autorizzato a identificare quel dominio. Il rovescio della medaglia è che se si forza un dominio che non ha affatto SSL non si sarà in grado di accedere al sito.

Chromium.org

Forza HTTPS con estensione KB SSL Enforcer

Questa estensione forzerà HTTPS in Chrome per i siti Web che supportano, non è completamente sicura contro il famigerato Firesheep, ma minimizza notevolmente il rischio. A causa delle limitazioni di Chrome, SSL SSL Enforcer reindirizza la pagina durante il caricamento. Ottieni uno sfarfallio rapido della pagina non crittografata, ma ti reindirizza il più velocemente possibile.

KB SSL Enforcer

Estensione HTTP per forzare HTTPS in Chrome

L'uso di HTTP impone ai siti definiti di utilizzare HTTPS anziché HTTP. Viene precaricato con due siti definiti: Facebook e Twitter. Come l'estensione precedente, la richiesta iniziale viene inviata al sito senza utilizzare HTTPS.

Usa HTTPS

— 0m3r
fonte

Si noti che la presenza di HSTS è determinata dall'operatore del server, non dal client.

— un CVn del

@ MichaelKjörling In realtà, dipende in parte dal client, poiché possono avere elenchi precaricati (come spiegato nel link Chromium nella risposta).

— Bruno,