成立于1990年的電子前線基金會是一個非營利組織。它在2010年6月發(fā)布了HTTPS Everywhere的beta測試版。8月4日,HTTPS Everywhere的1.0版發(fā)布,包括了數(shù)百個新加的站點,以及精心制定的從HTTP轉(zhuǎn)到HTTPS的規(guī)則。
   
    HTTPS現(xiàn)在是互聯(lián)網(wǎng)安全和隱私保護的基石。它在反"搜索劫持"上起著關(guān)鍵作用。
   
    今年早些時候,兩篇論文指出在一些美國ISP中曾出現(xiàn)過的詭異的域名系統(tǒng)(DNS)問題。在這些ISP的網(wǎng)絡(luò)中,有一些指向主要搜索引擎(例如Bing,Yahoo!以及(有時)Google)的流量被重定向到一些奇怪的第三方代理上。
   
    EFF高級主任工程師Peter Eckersley解釋說:
   
    如果沒有HTTPS,你的在線閱讀習(xí)慣和行為都非常容易被竊聽,而且你的賬號也非常容易被竊取。Paxfire的遭遇是一個很好的例子,它告訴我們事情可能會變得多糟糕。EFF創(chuàng)建了HTTPS Everywhere來幫助用戶保護他們的用戶名,密碼和瀏覽歷史。"
   
    HTTPS Everywhere 1.0能夠加密到Google圖片搜索、Flickr、Netflix、Apple以及例如NPR和經(jīng)濟學(xué)人這樣的新聞網(wǎng)站的鏈接,當(dāng)然這里面還包括了到數(shù)百個銀行的鏈接。HTTPS Everywhere也同樣支持將Google搜索、Facebook、Twitter、Hotmail、Wikipedia、紐約時報以及數(shù)百個流行網(wǎng)站的鏈接加密。
   
    EFF Firefox擴展也能夠保護使用Google、DuckDuckGo或者StartingPage搜索的用戶,但是不能保護Bing和Yahoo用戶,因為這些搜索引擎不支持HTTPS.
   
    Aaron Swartz表示他已經(jīng)能夠讓HTTPS Everywhere初步運行在Chrome上面了。去年Dan Kaminsky寫了一篇關(guān)于HTML 5安全性的文章,以及引用了一些瀏覽器實現(xiàn)HTTP時出現(xiàn)的漏洞:
   
    Robert "RSnake" Hansen和Josh Sokel在Black Hat 2010上做了一個題為"HTTPS的潛在安全問題"的演講。他們認(rèn)為,雖然HTTP的連接實際上缺乏像HTTPS那樣對信息加密的控制能力 - 但是,強悍的HTTPS的控制能力卻也帶來了比預(yù)期中的更多麻煩。
   
    Dan解釋說:
   
    如果你的站點有一個萬用證書,那么無論主機信息頭部是什么樣,這個站點都極有可能遭受跨站攻擊。
   
    考慮HTTP站點的cookie能夠在HTTPS中使用,并且保存路徑是固定的,不僅如此,過大的cookie將會導(dǎo)致服務(wù)器錯誤,因此一個HTTP攻擊者可以通過使用大量的cookie"關(guān)閉掉"HTTPS的某些功能從而迫使用戶只使用HTTP版本。
   
    Dan后總結(jié)道:
   
    這些發(fā)現(xiàn)終更加堅定了我對于將站點設(shè)置為只接受SSL的信念,只有這樣,站點才不會被HTTP給弄得麻煩纏身。這些混合使用的科技,HTTPS Everywhere,Strict-Transport-Security,以及還未指明的DNSSEC強制傳輸標(biāo)記,將會變得越來越重要。
   
    剛剛年滿20歲的Web已經(jīng)略顯疲態(tài),它的核心技術(shù)看起來已經(jīng)不能夠應(yīng)付不斷增加的復(fù)雜攻擊。不斷增加的Web API和大量出現(xiàn)的各種保護Web協(xié)議的偽標(biāo)準(zhǔn)方法也讓數(shù)據(jù)的規(guī)模成倍增長,而且已經(jīng)超出處理能力。Web是否正在超加密方向發(fā)展呢?你將如何應(yīng)付這種局面?