HTTPS Everywhere es una extensión de navegador gratuita y de código abierto para Google Chrome , Microsoft Edge , Mozilla Firefox , Opera , Brave , Vivaldi y Firefox para Android , desarrollada en colaboración por The Tor Project y Electronic Frontier Foundation (EFF). [4] Hace que los sitios web utilicen automáticamente una conexión HTTPS más segura en lugar de HTTP , si la admiten. [5]La opción "Encriptar todos los sitios elegibles" permite bloquear y desbloquear todas las conexiones de navegador que no sean HTTPS con un solo clic. [6]
Desarrollador (es) | Electronic Frontier Foundation y The Tor Project |
---|---|
Lanzamiento estable | |
Repositorio | |
Escrito en | JavaScript , Python |
Plataforma | Firefox para Android Google Chrome Mozilla Firefox Opera Vivaldi Microsoft Edge |
Tipo | Extensión del navegador |
Licencia | GNU GPL v3 + (la mayoría de los códigos son compatibles con v2) [3] |
Sitio web | www |
A partir de | Abril de 2014 |
Desarrollo
HTTPS Everywhere se inspiró en el mayor uso de HTTPS [7] de Google y está diseñado para forzar el uso de HTTPS automáticamente siempre que sea posible. [8] El código, en parte, se basa en NoScript 's HTTP Strict Transport Security implementación, pero HTTPS Everywhere se pretende que sea más fácil de usar que la fuerza de NoScript HTTPS funcionalidad que requiere el usuario para añadir manualmente sitios web para una lista. [4] La EFF proporciona información a los usuarios sobre cómo agregar conjuntos de reglas HTTPS a HTTPS Everywhere, [9] e información sobre qué sitios web admiten HTTPS. [10]
Soporte de plataforma
En 2010 se lanzó una versión beta pública de HTTPS Everywhere para Firefox, [11] y en 2011 se lanzó la versión 1.0. [12] En febrero de 2012 se lanzó una versión beta para Chrome. [13] En 2014, se lanzó una versión para teléfonos Android. . [14]
Observatorio SSL
El Observatorio SSL es una característica de HTTPS Everywhere introducida en la versión 2.0.1 [13] que analiza los certificados de clave pública para determinar si las autoridades de certificación se han visto comprometidas, [15] y si el usuario es vulnerable a ataques de intermediario. . [16] En 2013, el Comité Asesor de Seguridad y Estabilidad de la ICANN (SSAC) señaló que el conjunto de datos utilizado por el Observatorio SSL a menudo trataba a las autoridades intermedias como entidades diferentes, aumentando así el número de autoridades de certificación. El SSAC criticó al Observatorio SSL por descontar potencialmente significativamente los certificados de nombres internos, y señaló que utilizó un conjunto de datos de 2010. [17]
Actualizaciones continuas del conjunto de reglas
La actualización a la versión 2018.4.3, enviada el 3 de abril de 2018, presenta la función "Actualizaciones continuas del conjunto de reglas". [18] Para aplicar reglas https actualizadas, esta función de actualización ejecuta una coincidencia de reglas en 24 horas. La EFF creó un sitio web llamado https-rulesets para este propósito. Esta función de actualización automática se puede desactivar en la configuración del complemento. Antes del mecanismo de actualización, ha habido actualizaciones de conjuntos de reglas solo a través de actualizaciones de aplicaciones. Incluso después de que se implementó esta función, todavía se envían conjuntos de reglas empaquetados dentro de las actualizaciones de la aplicación.
Recepción
Dos estudios han recomendado incorporar la funcionalidad HTTPS Everywhere en los navegadores de Android. [19] [20] En 2012, Eric Phetteplace lo describió como "quizás la mejor respuesta a los ataques estilo Firesheep disponibles para cualquier plataforma". [21] En 2011, Vincent Toubiana y Vincent Verdot señalaron algunos inconvenientes del complemento HTTPS Everywhere, incluido que la lista de servicios que admiten HTTPS debe mantenerse y que algunos servicios se redireccionan a HTTPS aunque aún no estén disponibles. en HTTPS, no permitiendo que el usuario de la extensión acceda al servicio. [22] Otras críticas son que los usuarios pueden ser engañados al creer que si HTTPS Everywhere no cambia un sitio a HTTPS, es porque no tiene una versión HTTPS, mientras que podría ser que el administrador del sitio no haya enviado un conjunto de reglas HTTPS. a la EFF, [23] y que debido a que la extensión envía información sobre los sitios que visita el usuario al Observatorio SSL, esto podría usarse para rastrear al usuario. [23]
Legado
La iniciativa HTTPS Everywhere inspiró alternativas de cifrado oportunistas :
- 2020: Modo solo HTTPS integrado en Firefox . [24] [25]
- 2019: HTTPZ [26] para navegadores compatibles con Firefox / WebExt .
- 2017: Smart-HTTPS (código cerrado temprano desde v0.2 [27] ),
Ver también
- Brave : un navegador de código abierto que integra HTTPS Everywhere
- Seguridad de la capa de transporte (TLS): protocolos criptográficos que brindan seguridad en las comunicaciones a través de una red informática.
- Privacy Badger : una extensión de navegador gratuita creada por la EFF que bloquea los anuncios y las cookies de seguimiento .
- Suiza (software) : una utilidad de monitoreo de red de código abierto desarrollada por la EFF para monitorear el tráfico de la red.
- Let's Encrypt : una autoridad de certificación X.509 automatizada y gratuita diseñada para simplificar la configuración y el mantenimiento de sitios web seguros cifrados con TLS.
- HTTP Strict Transport Security : un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra ataques de degradación de protocolos y secuestro de cookies .
Referencias
- ^ "Changelog.txt" . Fundación Frontera Electrónica . Consultado el 27 de junio de 2019 .
- ^ "Lanzamientos · EFForg / https-en todas partes" . GitHub . Consultado el 16 de junio de 2018 .
- ^ Fundación de frontera electrónica de desarrollo HTTPS en todas partes
- ^ a b "HTTPS en todas partes" . Fundación Frontera Electrónica . Consultado el 14 de abril de 2014 .
- ^ "HTTPS Everywhere llega a 2.0, llega a Chrome como beta" . H-online.com . 29 de febrero de 2012 . Consultado el 14 de abril de 2014 .
- ^ " Registro de cambios de HTTPS en todas partes " .
- ^ "Cifrado web automático (casi) en todas partes - The H Open Source: noticias y características" . H-online.com . 18 de junio de 2010. Archivado desde el original el 23 de junio de 2010 . Consultado el 15 de abril de 2014 .
- ^ Murphy, Kate (16 de febrero de 2011). "Nuevas herramientas de piratería plantean mayores amenazas para los usuarios de Wi-Fi" . The New York Times .
- ^ "Conjuntos de reglas HTTPS Everywhere" . Fundación Frontera Electrónica . 24 de enero de 2014 . Consultado el 19 de mayo de 2014 .
- ^ "Atlas de HTTPS en todas partes" . Fundación Frontera Electrónica . Consultado el 24 de mayo de 2014 .
- ^ Mills, Elinor (18 de junio de 2010). "El complemento de Firefox cifra las sesiones con Facebook, Twitter" . CNET . Consultado el 14 de abril de 2014 .
- ^ Gilbertson, Scott (5 de agosto de 2011). "Herramienta de seguridad de Firefox HTTPS Everywhere Hits 1.0" . Cableado . Consultado el 14 de abril de 2014 .
- ^ a b Eckersley, Peter (29 de febrero de 2012). "HTTPS en todas partes y el Observatorio SSL descentralizado" . Fundación Frontera Electrónica . Consultado el 4 de junio de 2014 .
- ^ Brian, Matt (27 de enero de 2014). "Navegar en su teléfono Android ahora es más seguro, gracias a la EFF" . Engadget . Consultado el 14 de abril de 2014 .
- ^ Lemos, Robert (21 de septiembre de 2011). "EFF construye un sistema para advertir de violaciones de certificados" . InfoWorld . Consultado el 14 de abril de 2014 .
- ^ Vaughan, Steven J. (28 de febrero de 2012). "Lanzamiento de la nueva extensión del navegador web 'HTTPS Everywhere'" . ZDNet . Consultado el 14 de abril de 2014 .
- ^ "1 Aviso de SSAC sobre certificados de nombres internos" (PDF) . Comité Asesor de Seguridad y Estabilidad de la ICANN (SSAC). 15 de marzo de 2013.
- ^ Abrams, Lawrence (5 de abril de 2018). "HTTPS Everywhere ahora ofrece nuevos conjuntos de reglas sin actualizar la extensión" . BleepingComputer .
- ^ Fahl, Sascha; et al. "Por qué a Eve y Mallory les encanta Android: un análisis de la (in) seguridad SSL de Android" (PDF) . Actas de la conferencia ACM de 2012 sobre seguridad informática y de las comunicaciones . ACM, 2012. Archivado desde el original (PDF) el 8 de enero de 2013.
- ^ Davis, Benjamin; Chen, Hao (junio de 2013). " Esqueleto retro ". Actas de la undécima conferencia internacional anual sobre sistemas, aplicaciones y servicios móviles - Mobi Sys '13 . págs. 181-192. doi : 10.1145 / 2462456.2464462 . ISBN 9781450316729.
- ^ Kern, M. Kathleen y Eric Phetteplace. "Endureciendo el navegador". Reference & User Services Quarterly 51.3 (2012): 210-214. http://eprints.rclis.org/16837/
- ^ Toubiana, Vincent; Verdot, Vincent (2011). "Muéstrame tu galleta y te diré quién eres". arXiv : 1108,5864 [ cs.CR ].
- ^ a b "¿Es hora de dejar de recomendar HTTPS en todas partes?: PrivacytoolsIO" .
- ^ Kerschbaumer, Christoph; Gaibler, Julian; Edelstein, Arthur; Merwe, Thyla van der. "Firefox 83 presenta el modo solo HTTPS" . Blog de seguridad de Mozilla . Consultado el 3 de diciembre de 2020 .
- ^ "Preguntas frecuentes sobre HTTPS en todas partes" . Fundación Frontera Electrónica . 7 de noviembre de 2016 . Consultado el 3 de diciembre de 2020 .
- ^ claustromaniac (10 de octubre de 2020), claustromaniac / httpz , consultado el 3 de diciembre de 2020
- ^ "Repositorio Smart HTTPS (revivido) · Edición # 12 · ilGur1132 / Smart-HTTPS" . GitHub . Consultado el 3 de diciembre de 2020 .