Verdadeiro HTTPS? Como?

3

/ Usando o Google Chrome /

se eu visitar:

link

então o:

link

está em um servidor somente HTTP.

Como posso ter 100% de certeza de que, se eu vir o "HTTPS" na barra de URLs do meu navegador, isso significa que o conteúdo completo do site está realmente criptografado?

No meu exemplo, as imagens na wikipedia não estão usando criptografia (?), então um sniffer poderia saber que estou visitando um site da Wikipedia sobre cavalos.

Devo instalar um proxy (por exemplo, privoxy) que garantirá que nenhum elemento somente HTTP seja carregado em um "site HTTPS"?

Obrigado ..

    
por LanceBaynes 09.04.2011 / 00:46

3 respostas

8

A maioria dos navegadores permite que você receba um aviso se você tiver conteúdo HTTP em uma página HTTPS. Isso pode ser muito chato se você visitar sites que misturam conteúdo HTTP em suas páginas HTTPS. De sua pergunta parece Wikipedia é um desses. Quando configurado corretamente, o Firefox me avisa visitando esta página.

Um servidor da web não é obrigado a oferecer HTTPS. Muitos sites não oferecem HTTPS, e outros só podem usá-lo para proteger telas de login e outros conteúdos que considerem requerer um caminho seguro. Mesmo se você usar HTTPS, ainda é possível determinar quais servidores você está navegando. Em muitos casos, o servidor hospeda apenas um site, assim o site também seria conhecido.

Até recentemente, os certificados exigidos para HTTPS eram bastante caros. Dependendo do nível de confiança exigido, o custo ainda é alto. Bancos e outras organizações que exigem um alto grau de confiança e segurança pagarão altos preços por seus certificados.

Se você deseja ocultar seu tráfego do monitoramento local, você pode usar um caminho seguro para um proxy. Isso pode levantar bandeiras vermelhas com quem estiver monitorando seu tráfego.

Se você usar um proxy privado, qualquer downstream do proxy poderá determinar grande parte das informações que você está tentando ocultar.

    
por 09.04.2011 / 03:12
3

Você pode estar interessado em Segurança de Transporte Estrito HTTP, às vezes chamada de STS ou HSTS. Esse é um cabeçalho voluntário que um servidor da Web pode enviar para instruir o navegador da Web de que o site deve estar sempre seguro. O Chrome é um dos navegadores que o implementam. link Acho que você pode adicionar a Wikipédia ao banco de dados padrão de sites HSTS no Chrome para impor HTTPS em todos os lugares , mas eu não tenho certeza. Além disso, para impor HTTPS a todos os navegadores da Web e outros clientes HTTP que acessam determinados sites, você precisará de algum tipo de proxy. Você também pode ir ao extremo e usar o roteamento de Tor e Cebola para esconder o fato de estar visitando a Wikipédia.

    
por 09.04.2011 / 01:18
1

Relacionado a isso está o link do firefox

Como eles observam

As always, even if you're at an HTTPS page, remember that unless Firefox displays a colored address bar and an unbroken lock icon in the bottom-right corner, the page is not completely encrypted and you may still be vulnerable to various forms of eavesdropping or hacking (in many cases, HTTPS Everywhere can't prevent this because sites incorporate insecure third-party content).

    
por 09.04.2011 / 11:28