HTTPS Everywhere, extensie pentru Firefox
După ce nu demult am vorbit despre insecuritatea reprezentată de reţelele publice, iar unul dintre cititori m-a „certat” fiindcă n-aş fi acordat o atenţie sporită mijloacelor de protecţie, astăzi am să vă reţin atenţia cu o extensie pentru Firefox care facilitează folosirea protocolului HTTPS. Extensia în cauză se numeşte HTTPS Everywhere, iar în spatele ei se află două organisme: The Tor Project şi Electronic Frontier Foundation.
Pentru cei care nu-şi mai amintesc, HTTPS (HyperText Transfer Protocol/Secure) reprezintă un protocol de comunicare mai sigur decât HTTP-ul clasic, dat fiind faptul că fluxul de date este criptat, ceea ce face ca orice informaţii interceptate să nu poată fi folosite de către atacator.
Spre deosebire de protocolul HTTP unde datele sunt transmise „în clar”, HTTP încapsulează aceste informaţii într-un flux SSL/TLS (cel mai probabil SSL 3.0). Totodată, HTTPS reprezintă o metodă de autentificare a server-ului web accesat, de la care se solicită un certificat digital (emis de o autoritate cunoscută, de pildă VeriSign) şi cu ajutorul căruia, browser-ul web (şi implicit utilizatorul) au garanţia că server-ul accesat este şi cel autorizat, iar transferul de date poate continua.
Folosirea protocolului HTTPS este o măsură obligatorie atunci când transmitem informaţii sensibile (nume de conturi, parole) sau efectuăm vreo tranzacţie online şi ar trebui impus cât mai repede ca standardul „de facto” în comunicaţiile web. Dealtfel Google, după ce ne-a obişnuit cu Gmail sau Google Docs protejate prin SSL, a mai făcut un pas, oferind căutări securizate prin Google SSL. Este suficient să accesaţi https://www.google.com, unde veţi avea garanţia respectării intimităţii şi un plus în ceea ce priveşte siguranţa în mediul online.
HTTPS Everywhere 0.1.2
URL: https://www.eff.org/https-everywhere
Aflată în stadiul beta, HTTPS Everywhere este la cea de-a treia versiune lansată (n.r. 0.1.2), însă câtă vreme nu s-au înregistrat probleme de compatibilitate cu Firefox 3.6.4 sau cu vreun alt plugin, nu voi cataloga acest lucru drept un inconvenient.
Utilizatorii de Firefox (toţi cei 400 de milioane, după cum se clamează pe site-ul oficial), pot descărca ultima versiune a extensiei (în speţă, fişierul https-everywhere-latest.xpi), doar pe pagina eff.org, iar instalarea decurge în modul clasic, ca şi orice altă extensie Firefox.
La fel de obişnuit este şi restartul, iar apoi să vedem câteva dintre opţiunile pe care le oferă HTTPS Everywhere.
Tools –> Options –> General –> Manage Add-ons… – HTTPS Everywhere 0.1.2 –> Options
Veţi fi surprinşi să observaţi pe lista site-urilor pentru care se oferă conexiune securizată (parţial sau integral, pentru că şi aici e o altă discuţie) alături de nume celebre precum Google Search, Wikipedia, Twitter, FaceBook, Mozilla sau PayPall şi locaţii mai puţin cunoscute (Ixquick, DuckDuckGo sau Scroogle / motoare de căutare), iar dat fiind faptul că regulile sunt listate într-un fişier XML, alte site-uri se pot adăuga oricând.
HTTPS Everywhere se bazează pe faptul că multe site-uri oferă suport (uneori limitat, ce-i drept) pentru conexiuni HTTPS, dar nu pun la îndemâna utilizatorilor şi instrumentele necesare pentru a beneficia de acest plus de securitate, iar aici intervine rolul extensiei care obligă browser-ul web să folosească protocolul HTTPS, ori de câte ori acest lucru este posibil.
HTTPS Everywhere. Casetă tehnică:
Denumire: HTTPS Everywhere
Tip: Extensie Firefox
Compatibilitate: Firefox 3.6
Autor: The Tor Project şi Electronic Frontier Foundation
Pagina: https://www.eff.org/https-everywhere
Versiune disponibilă: 0.1.2
La final…
Vreau să vă fiţi atenţi. Chiar dacă vă aflaţi pe o pagină al cărui protocol este HTTPS, câtă vreme Mozilla Firefox nu afişează bara de adrese într-o culoare specifică, iar lacătul din colţul din dreapta jos nu este închis (şi fără avertismente), nu putem discuta despre securizare completă, iar în aceste condiţii, există şansa ca parte a informaţiilor transmise să poată fi interceptă / citită.
Materiale bibliografice:
- http://ro.wikipedia.org/wiki/HTTPS
- http://mashable.com/2010/06/18/https-everywhere/
- http://lifehacker.com/5566839/https-everywhere-encrypts-connections-to-almost-any-site-that-allows-it
- http://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension
- http://www.google.com/support/websearch/bin/answer.py?answer=173733&hl=en
Nu pot sa nu remarc mici greseli de ortografie. Cred ca articolul a fost scris in graba.
“află un organisme, The Tor Project şi Electronic Frontier Foundation.”
Corect ar fi: se afla doua organisme
“toţi cei 400 de milioane de milioane”- ai pus de doua ori de milioane. Nu are cum sa depaseasca populatia globala
Foarte bine redactat articolul si foarte utila extensia. Instalata imediat. Ai uitat sa specifici ca la folosirea https de multe ori se schimba si portul utilizat, fata de clasicul 80 cand este vorba de http.
Foarte dragut explicat. Mi-a atras atentia si mie pluginul acesta in momentul aparitiei sale, doar ca nu mi-a placut restrictia sa pe site-urile populare. Acum am aflat ca suporta si extendirea adreselor.
Intr-o alta ordine de idei stateam si ma gandeam daca merita sa faci conexiuni securizate in cazul blogurilor noastre de exemplu, pentru ca nu de multe ori suntem pusi in situatia sa ne autentificam din retele nesecurizate si la care nu stim ce se afla la celalalt capat.
Vă mulţumesc pentru comentarii
@bcman
Am corectat (sper).
De vreo săptămână, tot zic să scriu de această extensie, iar după ce am văzut că rezistat şi upgrade-ului la Firefox 3.6.4… am completat draft-ul cu poze şi i-am dat „publish”. Aşa se explică acele inadvertenţe
@Avadanei Andrei
Extensia este destul de versatilă şi mă aştept ca numărul site-urilor suportate să crească extrem de rapid. E o idee foarte bună să fie folosit şi în cazul blogurilor, mai ales dacă eşti nevoit să te autentifici folosind o altă reţea decât cea „de acasă”. Sunt destui care şi-au pierdut para blogului în acest fel…
Interesanta chestie, de asta nu stiam, bravo tie!
De astazi testez si eu cate ceva, iar daca consider util si necesar scriu un review.