成立于1990年的電子前線基金會(huì)是一個(gè)非營(yíng)利組織。它在2010年6月發(fā)布了HTTPS Everywhere的beta測(cè)試版。8月4日,HTTPS Everywhere的1.0版發(fā)布,包括了數(shù)百個(gè)新加的站點(diǎn),以及精心制定的從HTTP轉(zhuǎn)到HTTPS的規(guī)則。
   
    HTTPS現(xiàn)在是互聯(lián)網(wǎng)安全和隱私保護(hù)的基石。它在反"搜索劫持"上起著關(guān)鍵作用。
   
    今年早些時(shí)候,兩篇論文指出在一些美國(guó)ISP中曾出現(xiàn)過(guò)的詭異的域名系統(tǒng)(DNS)問(wèn)題。在這些ISP的網(wǎng)絡(luò)中,有一些指向主要搜索引擎(例如Bing,Yahoo!以及(有時(shí))Google)的流量被重定向到一些奇怪的第三方代理上。
   
    EFF高級(jí)主任工程師Peter Eckersley解釋說(shuō):
   
    如果沒(méi)有HTTPS,你的在線閱讀習(xí)慣和行為都非常容易被竊聽(tīng),而且你的賬號(hào)也非常容易被竊取。Paxfire的遭遇是一個(gè)很好的例子,它告訴我們事情可能會(huì)變得多糟糕。EFF創(chuàng)建了HTTPS Everywhere來(lái)幫助用戶保護(hù)他們的用戶名,密碼和瀏覽歷史。"
   
    HTTPS Everywhere 1.0能夠加密到Google圖片搜索、Flickr、Netflix、Apple以及例如NPR和經(jīng)濟(jì)學(xué)人這樣的新聞網(wǎng)站的鏈接,當(dāng)然這里面還包括了到數(shù)百個(gè)銀行的鏈接。HTTPS Everywhere也同樣支持將Google搜索、Facebook、Twitter、Hotmail、Wikipedia、紐約時(shí)報(bào)以及數(shù)百個(gè)流行網(wǎng)站的鏈接加密。
   
    EFF Firefox擴(kuò)展也能夠保護(hù)使用Google、DuckDuckGo或者StartingPage搜索的用戶,但是不能保護(hù)Bing和Yahoo用戶,因?yàn)檫@些搜索引擎不支持HTTPS.
   
    Aaron Swartz表示他已經(jīng)能夠讓HTTPS Everywhere初步運(yùn)行在Chrome上面了。去年Dan Kaminsky寫了一篇關(guān)于HTML 5安全性的文章,以及引用了一些瀏覽器實(shí)現(xiàn)HTTP時(shí)出現(xiàn)的漏洞:
   
    Robert "RSnake" Hansen和Josh Sokel在Black Hat 2010上做了一個(gè)題為"HTTPS的潛在安全問(wèn)題"的演講。他們認(rèn)為,雖然HTTP的連接實(shí)際上缺乏像HTTPS那樣對(duì)信息加密的控制能力 - 但是,強(qiáng)悍的HTTPS的控制能力卻也帶來(lái)了比預(yù)期中的更多麻煩。
   
    Dan解釋說(shuō):
   
    如果你的站點(diǎn)有一個(gè)萬(wàn)用證書,那么無(wú)論主機(jī)信息頭部是什么樣,這個(gè)站點(diǎn)都極有可能遭受跨站攻擊。
   
    考慮HTTP站點(diǎn)的cookie能夠在HTTPS中使用,并且保存路徑是固定的,不僅如此,過(guò)大的cookie將會(huì)導(dǎo)致服務(wù)器錯(cuò)誤,因此一個(gè)HTTP攻擊者可以通過(guò)使用大量的cookie"關(guān)閉掉"HTTPS的某些功能從而迫使用戶只使用HTTP版本。
   
    Dan后總結(jié)道:
   
    這些發(fā)現(xiàn)終更加堅(jiān)定了我對(duì)于將站點(diǎn)設(shè)置為只接受SSL的信念,只有這樣,站點(diǎn)才不會(huì)被HTTP給弄得麻煩纏身。這些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及還未指明的DNSSEC強(qiáng)制傳輸標(biāo)記,將會(huì)變得越來(lái)越重要。
   
    剛剛年滿20歲的Web已經(jīng)略顯疲態(tài),它的核心技術(shù)看起來(lái)已經(jīng)不能夠應(yīng)付不斷增加的復(fù)雜攻擊。不斷增加的Web API和大量出現(xiàn)的各種保護(hù)Web協(xié)議的偽標(biāo)準(zhǔn)方法也讓數(shù)據(jù)的規(guī)模成倍增長(zhǎng),而且已經(jīng)超出處理能力。Web是否正在超加密方向發(fā)展呢?你將如何應(yīng)付這種局面?