‫HTTPS Everywhere - کروم

سوال‌های متداول

معنای رنگ‌های مختلف برای قوانین در بخش‌های مختلف نوار ابزار چیست؟(بیشتر)

رنگ‌ها عبارتند از:

• سبز تیره: مجموعه دستورها در زمان بارگذاری از منابع سایت، فعال بوده‌اند.

• سبز روشن: مجموعه دستورات برای جلوگیری از بارگذاری سایت در حالت HTTP فعال هستند، اما هرچیزی که در مجموعه دستورات ذکر شده خواه نا خواه در حالت HTTPS بارگذاری شده است. (در کدها به سبز روشن قانون بحث می‌گویند.)

• قهوه ای تیره یا علامت ساعت گرد قرمز: قانون نقض شده است - قوانین فعال هستند، اما سایت حداقل در بخش‌هایی، درخواست‌های HTTPS را به HTTP انتقال می‌دهد.

• خاکستری: مجموعه دستورات در حالت غیر فعال هستند.

لینک ثابت

HTTPS Everywhere از من در مقابل چه چیزهایی محافظت می‌کند؟(بیشتر)

HTTPS Everywhere بر روی سایت‌هایی که از HTTPS پشتیبانی می‌کنند، با فعال کردن حفاظ HTTPS مانع از ربوده شدن اطلاعات ارسالی شما به سایت و یا استراق سمع فعالیت‌های شما در آن سایت می‌شود. در حالت ایده‌آل، این افزونه از شما در برابر رصد اطلاعات مبادله شده دو طرف توسط مهاجمان محافظت می‌کند. به عنوان مثال، این نرم افزار از متن ایمیلی که از طریق یک سرویس ایمیل مبتنی بر وب فرستاده می‌شود، یا محصولی که در یک سایت تجاری جست و جو می‌کنید و یا مقاله‌ای که در یک سایت مطالعه می‌کنید را از چشم مهاجمان در امان می‌دارد.

لازم به توضیح است که HTTPS Everywhere هیچ یک از اطلاعات سایت بازدیدی شما، مانند مدت زمانی که در سایت حضور داشتید، یا میزان اطلاعاتی که شما دانلود یا آپلود کرده اید را ثبت و ذخیره نخواهد کرد. به عنوان مثال، اگر شما تلاش کنید که از صفحه http://www.eff.org/issues/nsa-spying بازدید کنید، این افزونه آدرس را به https://www.eff.org/issues/nsa-spying تغییر خواهد داد. فردی که در حال استراق سمع از شما باشد، باز می تواند ببیند که شما تلاش کرده اید از سایت EFF بازدید کنید، اما نمی‌تواند صفحاتی که مطالعه می‌کنید را ببیند. به طور کلی، نام دامنه میزبان اصلی، توسط هر فرد استراق سمع کننده‌ای، قابل مشاهده است، چرا که مرورگر برای بارگذاری سایت، باید ابتدا این نام را به صورت غیر رمز گذاری شده ارسال کند. به بیان دیگر، پروتکل HTTPS هیچ‌گاه برای مخفی کردن سایتی که شما از آن بازدید می‌کنید ساخته نشده است.

محققان نشان داده‌اند که راه‌های زیرکانه دیگری نیز وجود دارد که می‌تواند اطلاعات بیشتری در رابطه با بازدیدهای شما در اختیار مهاجمان قرار دهد. از جمله‌ی این راه‌ها می‌توان به بررسی دقیق میزان آپلود و دانلود صفحات و زمان بازدید از سایت اشاره کرد. اگر بخواهیم یک مثال ساده بزنیم می‌توانیم بگوییم، در صورتی که یک سایت تنها یک صفحه با حجم مشخصی داشته باشد، هر بازدید کننده‌ای که آن میزان از سایت اطلاعات دانلود کند، مطمئنا در حال مشاهده آن صفحه است.

اگر می‌خواهید خود را در برابر نظارت بر سایت‌هایی که از آن‌ها بازدید می‌کنید مقاوم کنید، پیشنهاد می‌کنیم که از برنامه HTTPS Everywhere در کنار نرم‌افزارهایی مانند Tor استفاده کنید.

لینک ثابت

HTTPS Everywhere چه زمانی از من محافظت می‌کند و چه زمان‌هایی نمی‌تواند از من محافظت کند؟(بیشتر)

افزونه‌ی HTTPS Everywhere تنها زمانی می‌تواند از شما محافظت کند که قصد بازدید از سایتی را داشته باشید که از encrypted portions پشتیبانی کند. برای سایت‌هایی که از روش رمزگذاری استفاده می‌کنند، افزونه به صورت خودکار تمام بخش‌های سایت را با پروتکل HTTPS بارگذاری می‌کند (برای برخی از سایت‌ها ممکن است تنها بخش‌هایی از آن‌ها از پروتکل HTTPS پشتیبانی کنند). به عنوان مثال، اگر ارائه‌دهنده سرویس وب میل شما از HTTPS پشتیبانی نکند، این افزونه نمی‌تواند ارتباط شما را با میزبان ایمیل‌تان امن کند. و به طور مشابه، سایت نیویورک تایمز تنها از پروتکل HTTPS برای متن پشتیبانی می‌کند و عکس‌ها بر روی پروتکل HTTP بارگذاری می‌شوند، از همین رو ممکن است شخصی بتواند عکس‌هایی که شما در مرورگرتان می‌بینید را رصد کند و از آن طریق به محتوای مطالعات شما پی ببرد.

HTTPS Everywhere کاملا به امکانات امنیتی وبسایتی که از آن بازدید می‌کنید وابسته است و عملا تنها همان امکانات را فعال می‌سازد، اما در صورتی که این تمهیدات امنیتی وجود نداشته باشد، این افزونه نمی‌تواند آن‌ها را برای شما بسازد. اگر شما از سایتی بازدید می‌کنید که از HTTPS Everywhere پشتیبانی نمی‌کند و یا بخش‌هایی از آن قابلیت پشتیبانی از پروتکل HTTPS را ندارد، این افزونه نمی‌تواند امنیت مضاعفی برای شما فراهم سازد. فراموش نکنید که امنیت هر سایت را ابتدا با انتظارات خود تطبیق دهید و پس از اطمینان از امن بودن آن، به ارسال و دریافت اطلاعات مهم و مخصوصا رمز عبورتان اقدام کنید. یکی از راه‌هایی که بتوانید امنیت یک سایت را حدس بزنید، استفاده از افزونه Wireshark است. این افزونه بسته‌های اطلاعاتی که شما با یک سایت رد و بدل می‌کنید را رصد و جمع آوری می‌کند و دقیقا همان اطلاعاتی را به دست می‌آورد که هر فرد دیگری بر روی شبکه‌ی شما، می‌تواند از ارتباطات‌تان استراق سمع کند. با این روش شما می‌توانید ببینید که ارتباطتان با یک سایت تا چه حد امن است. البته که برای رسیدن به جواب قطعی نیاز به زمان دارید تا تمام داده‌های خروجی از Wireshark را مرور کنید.

لینک ثابت

من چگونه می‌توانم آیکون HTTPS Everywhere را جا به جا کنم یا کلا از شر آن خلاص شوم؟(بیشتر)

علامت HTTPS Everywhere کاربردی است، چرا که به شما اجازه می‌دهد وضعیت مرورگر خود را ببینید و در شرایط مورد نیاز آن را غیرفعال کنید. اما اگر ترجیح می‌دهید که آیکون افزونه را حذف کنید، مسیر زیر را طی کنید: View->Toolbars->Customize

پس از آن علامت برنامه را از نوار آدرس بردارید و به نوار ابزار پایین صفحه مرورگر انتقال دهید. سپس با حذف نوار ابزار، عملا آیکون برنامه نیز دیگر دیده نمی‌شود. از نظر تئوری شما باید بتوانید آیکون نرم افزار را مستقیما به بخش آیکون نرم‌افزارهای موجود منتقل کنید، اما این کار باعث فعال شدن یک باگ شود.

لینک ثابت

چرا برای سایت‌های HTTPS لیست سفید وجود دارد؟ چرا همه‌ی سایت‌ها را ابتدا با HTTPS امتحان نمی‌کنیم؟(بیشتر)

مشکلات بسیاری بر سر ایده جست و جوی همه سایت‌ها با پروتکل HTTPS وجود دارد.

اول این که سایت‌ها الزامی ندارند که پاسخ یکسانی در دو حالت HTTP و HTTPS ارائه دهند. به عنوان نمونه، از سال 2010، سایت LiveJournal مثال خوبی است، رفتار این سایت را در دو پروتکل HTTP و HTTPS مقایسه کنید.

دومین مساله این است که ما فکر می‌کنیم امکان تست HTTPS برای همه سایت‌ها در زمان واقعی بدون این که حفره امنیتی به وجود بیاید وجود ندارد (در صورتی که درخواست HTTPS مردود شد، برنامه نمی‌تواند درخواست را به حالت غیر امن HTTP ارسال کند، چرا که امنیت کاربر به مخاطره می‌افتد.) و آخرین مساله این است که HTTPS Everywhere گاهی نیاز دارد که بر روی آدرس لینک تغییراتی ایجاد کند. به طور مثال اخیرا، در صورتی که بخواهید از صفحه قوانین ویکی‌پدیا بازدید کنید، این افزونه آدرس http://en.wikipedia.org/wiki/World_Wide_Web را به https://secure.wikimedia.org/wikipedia/en/wiki/World_Wide_Web تغییر می‌دهد، چرا که دامنه اصلی ویکی‌پدیا، قابلیت پشتیبانی از پروتکل امن HTTPS را نداشت.

لینک ثابت