Babele Oggi

Una selezione di notizie dalla Galassia

Fondazione Frontiera Elettronica

10 anni di HTTPS ovunque

Babele Oggi

10 anni di HTTPS ovunque

Sono passati 10 anni dal rilascio beta dell'estensione per browser web HTTPS Everywhere di EFF. Crittografa le tue comunicazioni con i siti web, rendendo la tua navigazione più sicura. HTTPS è passato da una raccomandazione urgente a una componente principale del traffico della nostra esperienza web quotidiana. Nel 2018 abbiamo discusso dell'importanza di HTTPS Everywhere e del nostro impegno costante per crittografare il Web . Abbiamo fatto molta strada e abbiamo ancora molto lavoro da fare. Questo post offre un'istantanea del panorama di HTTPS Everywhere oggi.

HTTPS ovunque e amici

Dal lancio di HTTPS Everywhere, anche altri progetti hanno assunto il compito di aiutare gli utenti a navigare in sicurezza. Questi progetti più recenti includono Smarter Encryption e Smart HTTPS di DuckDuckGo . La differenza più grande è che HTTPS Everywhere gestisce ancora un elenco di regole curato dalla comunità per determinati siti. Molti utenti che aggiungono alla nostra lista hanno una conoscenza approfondita dei siti a cui stanno contribuendo. Esempi di tali rapporti includono sottodomini di un sito che hanno configurazioni errate, cookie non sicuri o bucket CDN da tenere in considerazione.

Molti utenti desideravano aggiornamenti dinamici a HTTPS, quindi abbiamo sviluppato la modalità Encrypt All Sites Eligible (EASE) in HTTPS Everywhere.

Modalità EASE attivata nel menu HTTPS Everywhere EASE tenta automaticamente di aggiornare le connessioni da HTTP non sicuro a HTTPS protetto per tutti i siti e impedisce che vengano effettuate connessioni non crittografate. Ciò è parallelo alle caratteristiche dei progetti più recenti elencati. La modalità EASE aiuta anche a prevenire attacchi di downgrade, in cui attori malintenzionati tentano di reindirizzare il browser a una connessione HTTP non sicura al sito. Questo viene gestito in modo leggermente diverso da altri progetti, ma vogliamo sottolineare che le nostre regole si applicano anche alle risorse secondarie della pagina. Ciò significa che se ci sono immagini e script che collegano a un altro dominio, come una Content Delivery Network (CDN), le nostre regole possono essere applicate anche a quelli. Non stiamo solo aggiungendo set di regole, ma li modifichiamo man mano che i siti web cambiano. I manutentori e i collaboratori di HTTPS Everywhere hanno svolto un lavoro fantastico nel corso degli anni mantenendo questo aspetto del progetto.

HTTPS ovunque e DNS su HTTPS (DoH)

Una domanda comune è se HTTPS Everywhere è ancora utile se "DNS over HTTPS" (DoH) è abilitato? Assolutamente. Il Domain Name System (DNS) cerca l'indirizzo IP di un sito quando digiti il ​​nome del sito nel tuo browser. Si verifica una richiesta DNS prima che venga stabilita la connessione al server del sito; DoH si verifica a questo livello. Dopo che la richiesta DNS è stata effettuata, la connessione al server del sito è successiva. È qui che entra in gioco HTTPS Everywhere: è in grado di proteggere il tuo traffico verso il sito richiesto.

Richiesta DNS = richiesta dell'indirizzo del sito IP

Richiesta HTTP = richiesta di comunicazione con il server del sito / contenuto del sito web

DoH e HTTPS = richiesta crittografata per l'IP del sito e richiesta crittografata rispettivamente con il contenuto del server / sito Web del sito
Richiesta di esposizione DNS normale, richiesta di occultamento DNS su HTTPS

Progressi nei browser

Molti browser hanno fatto passi da gigante nell'adozione di HTTPS a un ritmo più aggressivo. Per esempio:

  • Alcuni browser bloccano ulteriormente il contenuto misto, ovvero le risorse della pagina che non sono crittografate (HTTP).
  • Alcuni browser ora distribuiscono e supportano Transport Layer Security (TLS) 1.3, l'ultima versione del protocollo supportata in HTTPS.
  • Alcuni browser indicano visivamente agli utenti se un sito è sicuro o non protetto.
  • Chrome blocca i cookie di terze parti HTTP e Firefox consente di bloccare completamente i cookie di terze parti attraverso la loro " protezione avanzata dal tracciamento "
  • DNS over HTTPS (DoH) è disponibile sia in Chrome che in Firefox
  • Firefox Nightly ha distribuito silenziosamente una modalità solo HTTPS (vai a about: preferenze # privacy nell'URL del browser).

Avviso per la modalità solo HTTP di Firefox

Speriamo di vedere questi sviluppi, in particolare l'opzione per essere HTTPS per impostazione predefinita, sia in Firefox che in Chrome.

Nel prossimo decennio, speriamo che i browser contribuiscano ulteriormente a crittografare il Web. È tempo che i browser colmino queste lacune rimanenti e diano agli utenti la scelta di eseguire l'aggiornamento a HTTPS. Ci auguriamo che il nostro progetto HTTPS Everywhere alla fine non sarà necessario nel suo stato attuale, perché i browser stessi colmeranno queste lacune. Ciò richiederà un forte impegno da parte di tutti i principali browser per fornire opzioni HTTPS complete per i propri utenti.

HTTPS Everywhere Innovation

Oltre a crittografare il tuo traffico web, HTTPS Everywhere fornisce anche funzionalità estese che hanno lasciato il posto ad alcuni interessanti sviluppi nella privacy su Internet.

Cipolle leggibili dall'uomo

I nostri canali di aggiornamento forniscono ad altre parti un modo sicuro per caricare le proprie regole. Ad esempio, SecureDrop ha collaborato con Tor per utilizzare i canali HTTPS Everywhere Update per avere cipolle leggibili dall'uomo in Tor Browser! Come spiega SecureDrop:

“SecureDrop utilizza i servizi onion, accessibili solo tramite la rete Tor, per proteggere le fonti che inviano suggerimenti alle testate giornalistiche. Quando visiti un servizio onion (l'indirizzo termina con ".onion"), tutto il traffico da e verso il servizio viene crittografato e reso anonimo. "

Siamo entusiasti di poter fornire una piattaforma per suggerimenti facilmente condivisi E sicuri alle redazioni. Un grande cappello per SecureDrop e Tor Browser.

Rust + Web Assembly

Le riscritture del set di regole di HTTPS Everywhere sono molto utili, ma possono essere pesanti in memoria rispetto alla maggior parte delle estensioni. Per ovviare a questo problema, abbiamo un motore di reindirizzamento del set di regole scritto in Rust che compila in Web Assembly. Se Web Assembly non è supportato, Javascript è il fallback per le riscritture. Abbiamo scelto Rust perché è un linguaggio sicuro per la memoria, leggero e gestibile. Inoltre, non è necessario riscrivere parti esistenti della base di codice per prendere parte a sviluppi più moderni delle applicazioni web.

Ulteriori informazioni su Rust + Web Assembly: https://rustwasm.github.io/docs/book/introduction.html

HTTP Everywhere 2030 – Archiviato

Questo progetto e le sue funzionalità estese sono stati creati per rendere la privacy e la sicurezza non solo accessibili ma facilmente ottenibili da tutti. L'anonimato e la privacy sul Web non dovrebbero essere limitati alle persone con conoscenze altamente tecniche. Si spera che quando scriveremo un aggiornamento tra dieci anni, HTTPS Everywhere verrà ritirato, perché le sue salvaguardie crittografiche saranno state completamente integrate come una caratteristica comune della "rete".

Grazie per aver utilizzato HTTPS ovunque. Se non l'hai installato, fallo oggi !

Questa è la traduzione automatica di un articolo pubblicato su EFF – Electronic Frontier Foundation all’URL https://www.eff.org/deeplinks/2020/11/10-years-https-everywhere in data Tue, 10 Nov 2020 00:16:55 +0000.