Chrome nach Möglichkeit dazu zwingen, HTTPS anstelle von HTTP zu testen?

43

Viele Websites bieten sowohl HTTP als auch HTTPS an, z. B. http://stackoverflow.com und https://stackoverflow.com

Gibt es eine Möglichkeit, Chrome zu zwingen, zuerst HTTPS vor HTTP zu testen, wenn ich nur stackoverflow.comdie Adressleiste eingebe?

kiewic
quelle
5
Beachten Sie, dass einige Websites unterschiedliche Inhalte mit unterschiedlichen Protokollen produzieren.
把 把 留 在 在 盐
2
Es wird nicht viel Sicherheit bringen, da ein Angreifer leicht einen Fallback auf http auslösen kann. Wenn Sie wirklich die zusätzliche Sicherheit wünschen, muss sich der Browser merken, welche Domänen zuvor über https gearbeitet haben, und nicht automatisch auf http auf Websites zurückgreifen, auf denen https in der Vergangenheit gearbeitet hat. (Das wäre nicht so streng wie HSTS, da Sie Links immer noch manuell http://http:
eingeben
@soubunmei Ich bin neugierig. Haben Sie Beispiele dafür?
Paradroid
@paradroid es ist theoretisch möglich, aber ich wäre überrascht, wenn jemand dies in der Praxis tun würde (siehe Sie können einen Port zu Ihrer vhost-Konfiguration hinzufügen) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost
Shane

Antworten:

52

Sie können diese HTTPS Everywhere Chrome-Erweiterung ausprobieren .

paradroid
quelle
1
Dies scheint die Erweiterung mit mehr Benutzern und Open Source Code zu sein. Probieren Sie es aus.
Kiewic
2
Dies war genau das erste, was mir in den Sinn kam, als ich diesen Titel las. Aber denken Sie daran, dass es einige Sachen brechen kann. Wenn es eine Seite mit HTTPS anfordert und funktioniert, aber aus irgendeinem seltsamen Grund HTTP nicht zum Herstellen einer Verbindung mit einer Seite über XHR verwenden kann, bleibt eine fehlerhafte Seite übrig.
Ismael Miguel
2
@IsmaelMiguel, das ist wahrscheinlich ein guter Haftungsausschluss für jede Erweiterung, die Ihren Browser härtet. Eine höhere Sicherheit geht in der Regel zu Lasten einer gewissen Benutzerfreundlichkeit. IMO "standardmäßig blockieren" mit der Option "Aktivieren", wenn Sie sich sicher fühlen, ist viel besser als die Alternative, erfordert jedoch ein gewisses Bewusstsein für den Endbenutzer.
Mike Ounsworth
2
@MikeOunsworth Dieses Bewusstsein ist für die meisten Benutzer nahezu null. Die meisten lesen nur "Erhöhte Sicherheit und Privatsphäre" und beginnen sofort damit. Dann machen sie die Erweiterung dafür verantwortlich. Dennoch sollte es eine gute Idee sein, es hier hinzuzufügen. Ich weiß, dass Tor Probleme mit StackExchange hat.
Ismael Miguel
29

Erzwinge HTTPS in Chrome

Google ist eines der aggressiveren Unternehmen, die sich dafür einsetzen. Es gibt verschiedene Möglichkeiten, HTTPS in Chrome zu erzwingen, um sicherzustellen, dass das Surfen so sicher wie möglich ist.

Starten Sie Chrome mit HTTPS

Chrome unterstützt die Eingabe von chrome: // net-internals / in Ihre Adressleiste und schließt dann den HSTS-Menüpunkt ein. HSTS ist HTTPS Strict Transport Security: Eine Möglichkeit für Websites, immer HTTPS zu verwenden. HSTS wird in Google Chrome unterstützt. Mit dieser Einstellung können Sie nun HTTPS für jede gewünschte Domain erzwingen und diese Domain sogar "pinnen", sodass nur eine vertrauenswürdigere Untergruppe von Zertifizierungsstellen diese Domain identifizieren kann. Der Nachteil ist, dass Sie die Site nicht erreichen können, wenn Sie eine Domain erzwingen, die über kein SSL verfügt.

Chromium.org

HTTPS mit KB SSL Enforcer-Erweiterung erzwingen

Diese Erweiterung erzwingt HTTPS in Chrome für Websites, die dies unterstützen. Sie ist nicht vollständig sicher gegenüber dem berüchtigten Firesheep, minimiert jedoch das Risiko erheblich. Aufgrund von Chrome-Einschränkungen leitet KB SSL Enforcer die Seite beim Laden um. Sie erhalten ein kurzes Flimmern der unverschlüsselten Seite, das Sie jedoch so schnell wie möglich umleitet.

KB SSL Enforcer

HTTP-Erweiterung zum Erzwingen von HTTPS in Chrome

Mit HTTP verwenden werden definierte Sites gezwungen, HTTPS anstelle von HTTP zu verwenden. Es ist mit zwei definierten Websites vorinstalliert: Facebook und Twitter. Wie bei der vorherigen Erweiterung wird die ursprüngliche Anforderung an eine Site gesendet, die kein HTTPS verwendet.

Verwenden Sie HTTPS

0m3r
quelle
1
Beachten Sie, dass das Vorhandensein von HSTS vom Server-Operator und nicht vom Client bestimmt wird.
ein Lebenslauf
4
@ MichaelKjörling Eigentlich kommt es teilweise auf den Client an, da er vorinstallierte Listen haben kann (wie im Chromium-Link in der Antwort erklärt).
Bruno