可能な場合、ChromeにHTTPではなくHTTPSを強制的に使用させますか?

43

http://stackoverflow.comhttps://stackoverflow.comなど、多くのWebサイトはHTTPとHTTPSの両方を提供しています

stackoverflow.comアドレスバーに入力するだけで、ChromeがHTTPよりも先にHTTPSを試すよう強制する方法はありますか?

google-chrome  https 
キューウィック
ソース
5
注意してください、いくつかのサイトは異なるプロトコルで異なるコンテンツを生成します。
把友情留在無盐
2
攻撃者は非常に簡単にhttpへのフォールバックをトリガーできるため、セキュリティはあまり追加されません。追加のセキュリティが本当に必要な場合、ブラウザーは以前にhttpsで機能していたドメインを記憶し、過去にhttpsが機能していたサイトで自動的にhttpにフォールバックしないようにする必要があります。(リンクを手動で入力http://して使用できるため、HSTSほど厳密ではありませんhttp:。)
kasperd
@soubunmei興味があります。その例はありますか?
パラドロイド
@paradroidは理論的には可能ですが、実際に誰かがそれを行った場合は驚かれます(vhost設定にポートを追加できることを参照してください)-httpd.apache.org/docs/2.2/mod/core.html#virtualhost
シェーン

回答:

52

このHTTPS Everywhere Chrome拡張機能を試すことができます

パラドロイド
ソース
1
これは、より多くのユーザーとオープンソースコードを備えた拡張機能のようです。試してみてください。
キューウィック
2
これがまさにこのタイトルを読んだときに頭に浮かんだ最初のものでした。ただし、いくつかの問題が発生する可能性があることに注意してください。HTTPSを使用してページを要求し、動作するが、何らかの奇妙な理由でHTTPを使用してXHRを使用してページに接続できない場合、バグのあるページが残ります。
イスマエルミゲル
2
@IsmaelMiguelは、おそらくブラウザを強化する拡張機能についての適切な免責事項です。セキュリティの向上は、通常、ある程度の使いやすさを犠牲にします。あなたが安全だと感じた場合に有効にするオプションを備えたIMO「デフォルトでブロック」は代替よりもはるかに優れていますが、エンドユーザーの意識が必要です。
マイクOunsworth
2
@MikeOunsworthこのような認識は、ほとんどのユーザーにとってほぼゼロです。ほとんどの人は「安全性とプライバシーの向上」を読み、すぐにそれを使用します。それから彼らはこれの拡張を非難します。それでも、ここに追加することをお勧めします。TorにはStackExchangeに問題があることがわかっています。
イスマエルミゲル
29

ChromeでHTTPSを強制する

Googleは、これを実現するために推進しているより積極的な企業の1つです。ブラウジングを可能な限り安全にするために、ChromeでHTTPSを強制するいくつかの方法を次に示します。

HTTPSを使用したChromeの起動

Chromeでは、アドレスバーにchrome:// net-internals /と入力して、HSTSメニュー項目を含めることができます。HSTSはHTTPS厳密なトランスポートセキュリティです。サイトが常にHTTPSを使用することを選択する方法です。HSTSはGoogle Chromeでサポートされています。この設定を使用すると、任意のドメインにHTTPSを強制し、さらにそのドメインを「固定」して、CAのより信頼できるサブセットのみがそのドメインを識別できるようになります。欠点は、SSLをまったく持たないドメインを強制すると、サイトにアクセスできなくなることです。

Chromium.org

KB SSL Enforcer拡張機能を使用してHTTPSを強制する

この拡張機能は、サポートするWebサイトのChromeでHTTPSを強制します。悪名高いFiresheepに対して完全に安全ではありませんが、リスクを大幅に最小限に抑えます。Chromeの制限により、KB SSL Enforcerはページの読み込み中にリダイレクトします。暗号化されていないページがすばやくちらつきますが、可能な限り速くリダイレ​​クトされます。

KB SSLエンフォーサー

ChromeでHTTPSを強制するHTTP拡張

HTTPを使用すると、定義されたサイトでHTTPの代わりにHTTPSが使用されます。FacebookとTwitterの2つの定義済みサイトがプリロードされています。前の拡張機能と同様に、最初の要求はHTTPSを使用しないサイトに送信されます。

HTTPSを使用する

0m3r
ソース
1
HSTSの存在は、クライアントではなくサーバーオペレータによって決定されることに注意してください。
CVn
4
@MichaelKjörling実際には、クライアントが事前にロードされたリストを持つことができるため、部分的にクライアントに依存します(回答のChromiumリンクで説明されています)。
ブルーノ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.