HARD CORE SECURITY LAB

Fundacja Electronic Frontier (znana nam już za sprawą bardzo interesującego eksperymentu Panopticlick) we współpracy z Tor Project stworzyła rozszerzenie dla Firefoksa służące do automatycznego przełączania protokołu HTTP na szyfrowany HTTPS. Warto jednak wiedzieć, że HTTPS Everywhere (wbrew swej nazwie) obsługuje jedynie wybrane serwisy, a korzyści płynących z zastosowania szyfrowanego protokołu nie należy zbytnio przeceniać.

Coraz więcej stron internetowych wprowadza w ostatnim czasie możliwość dostępu przez protokół HTTPS. Świetnym przykładem jest tutaj szyfrowany Google Search. Okazuje się jednak, że zazwyczaj serwisy internetowe nadal domyślnie oferują komunikację za pośrednictwem protokołu HTTP. Tutaj wkracza właśnie rozszerzenie HTTPS Everywhere, które stara się wymuszać zastosowanie HTTPS gdy tylko jest to możliwe.

W chwili obecnej obsługiwane są następujące serwisy:

• Google Search
• Wikipedia
• Twitter
• Facebook
• The New York Times
• The Washington Post
• Paypal
• EFF
• Tor
• Ixquick

Przede wszystkim należy pamiętać, że rozszerzenie to nie jest w stanie w jakiś magiczny sposób wymusić zastosowania protokołu HTTPS w przypadku serwisów, które takiej możliwości w ogóle nie oferują. Po drugie, samo zastosowanie szyfrowanej transmisji często bywa przeceniane. Wystarczy tylko wspomnieć, że znane są metody pasywnej analizy szyfrowanego ruchu zdolne do zidentyfikowania (np. na podstawie wzorców czasowych oraz sekwencji pakietów) przesyłanych treści. Warto również przypomnieć, że istnieją metody oraz urządzenia pozwalające na przechwytywanie szyfrowanej komunikacji za pomocą ataków typu Man-in-the-Middle wykorzystujących skopiowane lub też sfałszowane certyfikaty.

Podsumowując, HTTPS Everywhere przyda się internautom zatroskanym o swe bezpieczeństwo oraz prywatność, należy jednak zawsze pamiętać o ograniczeniach tego typu rozwiązań oraz problemach z jakimi boryka się sam protokół HTTPS.