บังคับให้ Chrome ลองใช้ HTTPS แทน HTTP เมื่อทำได้


43

เว็บไซต์หลายแห่งมีทั้ง HTTP และ HTTPS เช่นhttp://stackoverflow.comและhttps://stackoverflow.com

มีวิธีใดที่จะบังคับให้ Chrome ลองใช้ HTTPS ก่อน HTTP เมื่อฉันพิมพ์เฉพาะstackoverflow.comในแถบที่อยู่หรือไม่


5
หมายเหตุบางเว็บไซต์ผลิตเนื้อหาที่แตกต่างกันด้วยโปรโตคอลที่แตกต่างกัน
把友情留在无盐

2
มันจะไม่เพิ่มความปลอดภัยมากนักเนื่องจากผู้โจมตีสามารถเปิดทางเลือกให้กับ http ได้อย่างง่ายดาย หากคุณต้องการความปลอดภัยเพิ่มเติมเบราว์เซอร์จะต้องจำว่าโดเมนใดทำงานกับ https ก่อนหน้านี้และจะไม่ถอยกลับไปที่ http โดยอัตโนมัติบนไซต์ที่ https ทำงานในอดีต (นั่นจะไม่เข้มงวดเท่า HSTS เพราะคุณยังคงสามารถพิมพ์http://และใช้http:ลิงก์ด้วยตนเองได้)
kasperd

@soubunmei ฉันอยากรู้ คุณมีตัวอย่างอะไรบ้างไหม?
Paradroid

@paradroid เป็นไปได้ในทางทฤษฎี แต่ฉันจะแปลกใจถ้าใครทำในทางปฏิบัติ (ดูคุณสามารถเพิ่มพอร์ตในการกำหนดค่า vhost ของคุณ) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost
Shane

คำตอบ:


52

คุณสามารถลองใช้ HTTPSนี้ได้ทุกที่ที่มีส่วนขยายของ Chrome


1
ดูเหมือนว่าจะเป็นส่วนขยายที่มีผู้ใช้มากขึ้นและรหัสโอเพนซอร์ส ลองดูสิ
kiewic

2
นี่เป็นสิ่งแรกที่เกิดขึ้นในใจของฉันเมื่อฉันอ่านชื่อเรื่องนี้ แต่โปรดจำไว้ว่ามันอาจทำลายบางสิ่ง หากมันขอหน้าด้วย HTTPS และมันใช้งานได้ แต่ด้วยเหตุผลแปลก ๆ บางอย่างมันไม่สามารถใช้ HTTP เพื่อเชื่อมต่อกับหน้าโดยใช้ XHR แล้วคุณจะถูกทิ้งไว้กับหน้าบั๊ก
Ismael Miguel

2
@IsmaelMiguel ซึ่งอาจเป็นข้อจำกัดความรับผิดชอบที่ดีสำหรับส่วนขยายใด ๆ ที่ทำให้เบราว์เซอร์ของคุณแข็ง ความปลอดภัยที่เพิ่มขึ้นมักมาจากการใช้งานบางอย่าง IMO "block-by-default" พร้อมตัวเลือกในการเปิดใช้งานหากคุณรู้สึกปลอดภัยดีกว่าตัวเลือกอื่น แต่ต้องการการรับรู้ของผู้ใช้ปลายทาง
Mike Ounsworth

2
@MikeOunsworth การรับรู้ดังกล่าวใกล้จะเป็นโมฆะสำหรับผู้ใช้ส่วนใหญ่ ส่วนใหญ่อ่านเพียง "เพิ่มความปลอดภัยและความเป็นส่วนตัว" และกระโดดเข้าไปใช้งานได้ทันที จากนั้นพวกเขาก็ตำหนิส่วนขยายนี้ แต่ก็ยังควรเพิ่มที่นี่ ฉันรู้ว่า Tor มีปัญหากับ StackExchange
Ismael Miguel

29

บังคับ HTTPS ใน Chrome

Google เป็นหนึ่งใน บริษัท ที่ก้าวร้าวยิ่งกว่าเดิมที่ผลักดันให้เรื่องนี้เกิดขึ้น นี่คือหลายวิธีที่คุณสามารถบังคับใช้ HTTPS ใน Chrome เพื่อให้มั่นใจว่าการท่องเว็บของคุณจะปลอดภัยที่สุด

เริ่มต้น Chrome ด้วย HTTPS

Chrome รองรับการพิมพ์ chrome: // net-internals / ในแถบที่อยู่ของคุณจากนั้นรวมรายการเมนู HSTS HSTS คือ HTTPS Strict Transport Security: วิธีสำหรับเว็บไซต์ที่จะเลือกใช้ HTTPS เสมอ HSTS ได้รับการสนับสนุนใน Google Chrome โดยใช้การตั้งค่านี้คุณสามารถบังคับ HTTPS สำหรับโดเมนใดก็ได้ที่คุณต้องการและแม้แต่“ ตรึง” โดเมนนั้นเพื่อให้อนุญาตเฉพาะส่วนย่อยของ CA ที่เชื่อถือได้มากขึ้นเพื่อระบุโดเมน ข้อเสียคือถ้าคุณบังคับให้โดเมนที่ไม่มี SSL เลยคุณจะไม่สามารถไปที่ไซต์ได้

Chromium.org

บังคับ HTTPS ด้วยส่วนขยาย KB SSL Enforcer

ส่วนขยายนี้จะบังคับ HTTPS ใน Chrome สำหรับเว็บไซต์ที่สนับสนุนไม่ปลอดภัยอย่างสมบูรณ์ต่อ Firesheep ที่น่าอับอาย แต่มันลดความเสี่ยงลงอย่างมาก เนื่องจากข้อ จำกัด ของ Chrome KB SSL Enforcer เปลี่ยนเส้นทางหน้าในขณะที่มันกำลังโหลด คุณได้รับเพจที่ไม่ได้เข้ารหัสอย่างรวดเร็ว แต่มันจะเปลี่ยนเส้นทางคุณโดยเร็วที่สุด

KB SSL Enforcer

ส่วนขยาย HTTP เพื่อบังคับใช้ HTTPS ใน Chrome

ใช้ HTTP จะบังคับให้ไซต์ที่กำหนดให้ใช้ HTTPS แทน HTTP มาพร้อมกับไซต์ที่กำหนดไว้สองไซต์: Facebook และ Twitter เช่นเดียวกับส่วนขยายก่อนหน้าคำขอเริ่มต้นจะถูกส่งไปยังไซต์ที่ไม่ได้ใช้ HTTPS

ใช้ HTTPS


1
โปรดทราบว่าการมีHSTS ขึ้นอยู่กับผู้ให้บริการเซิร์ฟเวอร์ไม่ใช่ลูกค้า
CVn

4
@ MichaelKjörlingที่จริงแล้วบางส่วนขึ้นอยู่กับลูกค้าเนื่องจากพวกเขาสามารถมีรายการที่โหลดไว้ล่วงหน้า (ตามที่อธิบายไว้ในลิงก์ Chromium ในคำตอบ)
Bruno
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.