سوالهای متداولِ HTTPS Everywhere - فایرفاکس
- معنای رنگهای مختلف برای قوانین در بخشهای مختلف نوار ابزار چیست؟(بیشتر)
-
رنگها عبارتند از:
-
سبز تیره: مجموعه دستورها در زمان بارگذاری از منابع سایت، فعال بودهاند.
-
سبز روشن: مجموعه دستورات برای جلوگیری از بارگذاری سایت در حالت HTTP فعال هستند، اما هرچیزی که در مجموعه دستورات ذکر شده خواه نا خواه در حالت HTTPS بارگذاری شده است. (در کدها به سبز روشن قانون بحث میگویند.)
-
قهوه ای تیره یا علامت ساعت گرد قرمز: قانون نقض شده است - قوانین فعال هستند، اما سایت حداقل در بخشهایی، درخواستهای HTTPS را به HTTP انتقال میدهد.
-
خاکستری: مجموعه دستورات در حالت غیر فعال هستند.
-
- HTTPS Everywhere از من در مقابل چه چیزهایی محافظت میکند؟(بیشتر)
-
HTTPS Everywhere بر روی سایتهایی که از HTTPS پشتیبانی میکنند، با فعال کردن حفاظ HTTPS مانع از ربوده شدن اطلاعات ارسالی شما به سایت و یا استراق سمع فعالیتهای شما در آن سایت میشود. در حالت ایدهآل، این افزونه از شما در برابر رصد اطلاعات مبادله شده دو طرف توسط مهاجمان محافظت میکند. به عنوان مثال، این نرم افزار از متن ایمیلی که از طریق یک سرویس ایمیل مبتنی بر وب فرستاده میشود، یا محصولی که در یک سایت تجاری جست و جو میکنید و یا مقالهای که در یک سایت مطالعه میکنید را از چشم مهاجمان در امان میدارد.
لازم به توضیح است که HTTPS Everywhere هیچ یک از اطلاعات سایت بازدیدی شما، مانند مدت زمانی که در سایت حضور داشتید، یا میزان اطلاعاتی که شما دانلود یا آپلود کرده اید را ثبت و ذخیره نخواهد کرد. به عنوان مثال، اگر شما تلاش کنید که از صفحه http://www.eff.org/issues/nsa-spying بازدید کنید، این افزونه آدرس را به https://www.eff.org/issues/nsa-spying تغییر خواهد داد. فردی که در حال استراق سمع از شما باشد، باز می تواند ببیند که شما تلاش کرده اید از سایت EFF بازدید کنید، اما نمیتواند صفحاتی که مطالعه میکنید را ببیند. به طور کلی، نام دامنه میزبان اصلی، توسط هر فرد استراق سمع کنندهای، قابل مشاهده است، چرا که مرورگر برای بارگذاری سایت، باید ابتدا این نام را به صورت غیر رمز گذاری شده ارسال کند. به بیان دیگر، پروتکل HTTPS هیچگاه برای مخفی کردن سایتی که شما از آن بازدید میکنید ساخته نشده است.
محققان نشان دادهاند که راههای زیرکانه دیگری نیز وجود دارد که میتواند اطلاعات بیشتری در رابطه با بازدیدهای شما در اختیار مهاجمان قرار دهد. از جملهی این راهها میتوان به بررسی دقیق میزان آپلود و دانلود صفحات و زمان بازدید از سایت اشاره کرد. اگر بخواهیم یک مثال ساده بزنیم میتوانیم بگوییم، در صورتی که یک سایت تنها یک صفحه با حجم مشخصی داشته باشد، هر بازدید کنندهای که آن میزان از سایت اطلاعات دانلود کند، مطمئنا در حال مشاهده آن صفحه است.
اگر میخواهید خود را در برابر نظارت بر سایتهایی که از آنها بازدید میکنید مقاوم کنید، پیشنهاد میکنیم که از برنامه HTTPS Everywhere در کنار نرمافزارهایی مانند Tor استفاده کنید.
- HTTPS Everywhere چه زمانی از من محافظت میکند و چه زمانهایی نمیتواند از من محافظت کند؟(بیشتر)
-
افزونهی HTTPS Everywhere تنها زمانی میتواند از شما محافظت کند که قصد بازدید از سایتی را داشته باشید که از encrypted portions پشتیبانی کند. برای سایتهایی که از روش رمزگذاری استفاده میکنند، افزونه به صورت خودکار تمام بخشهای سایت را با پروتکل HTTPS بارگذاری میکند (برای برخی از سایتها ممکن است تنها بخشهایی از آنها از پروتکل HTTPS پشتیبانی کنند). به عنوان مثال، اگر ارائهدهنده سرویس وب میل شما از HTTPS پشتیبانی نکند، این افزونه نمیتواند ارتباط شما را با میزبان ایمیلتان امن کند. و به طور مشابه، سایت نیویورک تایمز تنها از پروتکل HTTPS برای متن پشتیبانی میکند و عکسها بر روی پروتکل HTTP بارگذاری میشوند، از همین رو ممکن است شخصی بتواند عکسهایی که شما در مرورگرتان میبینید را رصد کند و از آن طریق به محتوای مطالعات شما پی ببرد.
HTTPS Everywhere کاملا به امکانات امنیتی وبسایتی که از آن بازدید میکنید وابسته است و عملا تنها همان امکانات را فعال میسازد، اما در صورتی که این تمهیدات امنیتی وجود نداشته باشد، این افزونه نمیتواند آنها را برای شما بسازد. اگر شما از سایتی بازدید میکنید که از HTTPS Everywhere پشتیبانی نمیکند و یا بخشهایی از آن قابلیت پشتیبانی از پروتکل HTTPS را ندارد، این افزونه نمیتواند امنیت مضاعفی برای شما فراهم سازد. فراموش نکنید که امنیت هر سایت را ابتدا با انتظارات خود تطبیق دهید و پس از اطمینان از امن بودن آن، به ارسال و دریافت اطلاعات مهم و مخصوصا رمز عبورتان اقدام کنید. یکی از راههایی که بتوانید امنیت یک سایت را حدس بزنید، استفاده از افزونه Wireshark است. این افزونه بستههای اطلاعاتی که شما با یک سایت رد و بدل میکنید را رصد و جمع آوری میکند و دقیقا همان اطلاعاتی را به دست میآورد که هر فرد دیگری بر روی شبکهی شما، میتواند از ارتباطاتتان استراق سمع کند. با این روش شما میتوانید ببینید که ارتباطتان با یک سایت تا چه حد امن است. البته که برای رسیدن به جواب قطعی نیاز به زمان دارید تا تمام دادههای خروجی از Wireshark را مرور کنید.
- من چگونه میتوانم آیکون HTTPS Everywhere را جا به جا کنم یا کلا از شر آن خلاص شوم؟(بیشتر)
-
علامت HTTPS Everywhere کاربردی است، چرا که به شما اجازه میدهد وضعیت مرورگر خود را ببینید و در شرایط مورد نیاز آن را غیرفعال کنید. اما اگر ترجیح میدهید که آیکون افزونه را حذف کنید، مسیر زیر را طی کنید: View->Toolbars->Customize
پس از آن علامت برنامه را از نوار آدرس بردارید و به نوار ابزار پایین صفحه مرورگر انتقال دهید. سپس با حذف نوار ابزار، عملا آیکون برنامه نیز دیگر دیده نمیشود. از نظر تئوری شما باید بتوانید آیکون نرم افزار را مستقیما به بخش آیکون نرمافزارهای موجود منتقل کنید، اما این کار باعث فعال شدن یک باگ شود.
- چرا برای سایتهای HTTPS لیست سفید وجود دارد؟ چرا همهی سایتها را ابتدا با HTTPS امتحان نمیکنیم؟(بیشتر)
-
مشکلات بسیاری بر سر ایده جست و جوی همه سایتها با پروتکل HTTPS وجود دارد.
اول این که سایتها الزامی ندارند که پاسخ یکسانی در دو حالت HTTP و HTTPS ارائه دهند. به عنوان نمونه، از سال 2010، سایت LiveJournal مثال خوبی است، رفتار این سایت را در دو پروتکل HTTP و HTTPS مقایسه کنید.
دومین مساله این است که ما فکر میکنیم امکان تست HTTPS برای همه سایتها در زمان واقعی بدون این که حفره امنیتی به وجود بیاید وجود ندارد (در صورتی که درخواست HTTPS مردود شد، برنامه نمیتواند درخواست را به حالت غیر امن HTTP ارسال کند، چرا که امنیت کاربر به مخاطره میافتد.) و آخرین مساله این است که HTTPS Everywhere گاهی نیاز دارد که بر روی آدرس لینک تغییراتی ایجاد کند. به طور مثال اخیرا، در صورتی که بخواهید از صفحه قوانین ویکیپدیا بازدید کنید، این افزونه آدرس http://en.wikipedia.org/wiki/World_Wide_Web را به https://secure.wikimedia.org/wikipedia/en/wiki/World_Wide_Web تغییر میدهد، چرا که دامنه اصلی ویکیپدیا، قابلیت پشتیبانی از پروتکل امن HTTPS را نداشت.
- آیا نسخهای از این افزونه برای مرورگرهای دیگر مانند اینترنت اکسپلورر و سافاری تولید خواهد شد؟(بیشتر)
-
برخی از اعضای تیم توسعهدهندهی این نرم افزار در حال کار کردن بر روی پورتی برای استفاده از HTTPS Everywhere بر روی اینترنت اکسپلورر هستند. از ابتدای سال 2012، افزونه API مرورگر سافاری، امکان بازنویسی درخواست از HTTP به HTTPS را به صورت امن فراهم نمیکند. اگر شما راهی میشناسید که بتوان این درخواست را به صورت امن اجرا کرد، به آدرس https-everywhere@eff.org ایمیل بزنید. (لازم به توضیح است که اصلاح document.location یا window.location در جاوا اسکریپت امن نیست)
- چرا HTTPS Everywhere نمیگذارد من به شبکهی وایفای هتل/مدرسه/ یا دیگر شبکههای وایفای متصل شوم؟(بیشتر)
-
برخی از شبکههای وایفای، بلافاصله پس از اتصال شما به آن شبکه، اطلاعات ارتباط HTTP شما را میربایند. این شبکهها به سادگی این اطلاعات را در ازای اتصال به آن شبکه و یا در قالب توافق حقوق کاربری از شما میگیرند. همانطور که مشخص است، صفحات HTTPS از این قاعده مستثنی هستند. در حال حاضر اگر شما به یکی از وبسایتهایی که از HTTPS Everywhere پشتیبانی نمیکند متصل شوید (در حال حاضر سایت yahoo.com یکی از این سایتهاست)، احتمال ربوده شدن ارتباط HTTP شما وجود خواهد داشت.
- چه اتفاقی میافتد اگر HTTPS Everywhere برخی از سایتهای مورد استفادهی من را با مشکل مواجه کند؟(بیشتر)
-
این اتفاقی است که در برخی شرایط ممکن است با آن مواجه شوید. دلیل این مساله عدم پشتیبانی آن سایت از سرویس HTTPS است. (به طور مثال وقتی که سایتی به ظاهر از HTTPS استفاده میکند، اما برخی از بخشهای سایت همچنان از پروتکل HTTP استفاده میکنند.) در حال حاضر، میتوانید با مراجعه به آیکون برنامه، HTTPS Everywhere را برای آن سایت خاص غیر فعال کنید.