Buộc Chrome thử HTTPS thay vì HTTP khi có thể?

Nhiều trang web cung cấp cả HTTP và HTTPS, ví dụ: http://stackoverflow.com và https://stackoverflow.com

Có cách nào để buộc Chrome thử HTTPS trước HTTP không khi tôi chỉ nhập stackoverflow.comvào thanh địa chỉ?

google-chrome https

— kiếp
nguồn

lưu ý, một số trang web sản xuất nội dung khác nhau với các giao thức khác nhau.

— 把友情留在

Nó sẽ không thêm nhiều bảo mật vì kẻ tấn công có thể kích hoạt dự phòng http khá dễ dàng. Nếu bạn thực sự muốn bảo mật bổ sung, trình duyệt phải nhớ những tên miền nào đã hoạt động trước https và không tự động quay lại http trên các trang web nơi https hoạt động trong quá khứ. (Điều đó sẽ không nghiêm ngặt như HSTS, bởi vì bạn vẫn có thể nhập http://và sử dụng http:các liên kết theo cách thủ công .)

— kasperd

@soubunmei Tôi tò mò. Bạn đã có bất kỳ ví dụ về điều đó?

— paradroid

@paradroid về mặt lý thuyết là có thể, tuy nhiên tôi sẽ ngạc nhiên nếu có ai làm điều đó trong thực tế (xem bạn có thể thêm một cổng vào cấu hình vhost của mình) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane

Câu trả lời:

Bạn có thể dùng thử tiện ích mở rộng HTTPS mọi nơi trên Chrome này.

— nghịch lý
nguồn

Đây dường như là phần mở rộng với nhiều người dùng hơn và mã nguồn mở. Hãy thử xem.

— kiewic

Đây chính xác là điều đầu tiên xuất hiện trong tâm trí tôi khi tôi đọc tiêu đề này. Nhưng hãy nhớ rằng nó có thể phá vỡ một số thứ. Nếu nó yêu cầu một trang có HTTPS và nó hoạt động, nhưng vì một số lý do kỳ lạ, nó không thể sử dụng HTTP để kết nối với một trang bằng XHR, thì bạn sẽ bị bỏ lại với một trang lỗi.

— Ismael Miguel

@IsmaelMiguel có lẽ là một sự từ chối tốt cho bất kỳ tiện ích mở rộng nào làm cứng trình duyệt của bạn; tăng cường bảo mật thường đi kèm với chi phí của một số khả năng sử dụng. IMO "chặn theo mặc định" với tùy chọn bật nếu bạn cảm thấy an toàn tốt hơn nhiều so với giải pháp thay thế, nhưng yêu cầu một số nhận thức của người dùng cuối.

— Mike Ounsworth

@MikeOunsworth Nhận thức như vậy gần như không có đối với hầu hết người dùng. Hầu hết chỉ đọc "tăng sự an toàn và riêng tư" và chuyển ngay sang sử dụng nó. Sau đó, họ đổ lỗi cho phần mở rộng cho điều này. Nhưng vẫn nên là một ý tưởng tốt để thêm nó ở đây. Tôi biết rằng Tor có một số rắc rối với StackExchange.

— Ismael Miguel

Buộc HTTPS trong Chrome

Google là một trong những công ty tích cực hơn để thúc đẩy điều này xảy ra. Dưới đây là một số cách bạn có thể buộc HTTPS trong Chrome để đảm bảo trình duyệt của bạn an toàn nhất có thể.

Khởi động Chrome bằng HTTPS

Chrome hỗ trợ nhập chrome: // net-internals / vào thanh địa chỉ của bạn và sau đó bao gồm mục menu HSTS. HSTS là HTTPS Strict Transport Security: một cách để các trang web chọn luôn sử dụng HTTPS. HSTS được hỗ trợ trong Google Chrome, Sử dụng cài đặt này, giờ đây bạn có thể buộc HTTPS cho bất kỳ tên miền nào bạn muốn và thậm chí cả pin pin tên miền đó để chỉ một tập hợp con CA đáng tin cậy hơn được phép xác định tên miền đó. Nhược điểm là nếu bạn buộc một tên miền không có SSL, bạn sẽ không thể truy cập trang web.

Chromium.org

Buộc HTTPS với tiện ích mở rộng KB SSL Enforcer

Tiện ích mở rộng này sẽ buộc HTTPS trong Chrome đối với các trang web hỗ trợ, Nó không hoàn toàn an toàn trước Firesheep khét tiếng, nhưng nó giảm thiểu rủi ro rất nhiều. Do các giới hạn của Chrome, KB SSL Enforcer chuyển hướng trang trong khi nó đang tải. Bạn nhận được một cái nhấp nháy nhanh chóng của trang không được mã hóa, nhưng nó chuyển hướng bạn càng nhanh càng tốt.

Enforcer KB SSL

Tiện ích mở rộng HTTP để Buộc HTTPS trong Chrome

Sử dụng HTTP sẽ buộc các trang web được xác định sử dụng HTTPS thay vì HTTP. Nó được cài đặt sẵn hai trang web được xác định: Facebook và Twitter. Giống như phần mở rộng trước đó, yêu cầu ban đầu được gửi đến trang web không sử dụng HTTPS.

Sử dụng HTTPS

— 0m3r
nguồn

Lưu ý rằng sự hiện diện của HSTS được xác định bởi nhà điều hành máy chủ, không phải máy khách.

— một CVn

@ MichaelKjorling Trên thực tế, điều này một phần phụ thuộc vào khách hàng, vì họ có thể có các danh sách được tải sẵn (như được giải thích trong liên kết Chromium trong câu trả lời).

— Bruno