Как стать автором
Поиск
Написать публикацию
Обновить

Разработчики Chrome внедряют принудительное открытие сайтов через HTTPS

Время на прочтение2 мин
Количество просмотров9K
Блог компании Дата-центр «Миран»Информационная безопасность*Веб-разработка*Google ChromeБраузеры
Всего голосов 7: ↑6 и ↓1+8
Комментарии10

Комментарии 10

Удивлен, что даже в Firefox все еще сначала подключение идет по HTTP, если явно не указан HTTPS. Либо сам вручную прописывай, либо врубай режим https-only (тогда на мобилке не будет опции исключения сайта), либо ставь расширение-костыль HTTPS Everywhere, которое whitelist-based.


Идеальным решением на текущий момент было бы из коробки сначала пробовать HTTPS, а уже потом HTTP.

Рейтинг скрыт
Я другого не понимаю, почему люди, настраивая https, не делают сразу же перенаправление с http на https.
Рейтинг скрыт
Это бесполезное занятие. Это должно быть сделано на стороне браузера, чтобы соединение изначально было зашифрованным. Поэтому сейчас браузеры и начали внедрять зашифрованные DNS и HTTPS по дефолту, чтобы ни один пакет данных не был отправлен по HTTP.

При отправке данных по HTTP и не зашифрованному DNS, ваш провайдер (и все желающие) получат всю информацию по посещенной странице.
Рейтинг скрыт

Делают же, почти везде так. Только вот этот первый http-запрос в итоге можно заMITMить.

Рейтинг скрыт

HSTS preload тоже давно существует.

Рейтинг скрыт
Вы наверное не знали, что режим «только HTTPS» в Firefox доступен уже около нескольких месяцев в стабильной ветке или ещё дольше в ночных сборках.

И работает этот режим так, что если у сайта нет HTTPS версии, браузер вас об этом уведомит и даст возможность посетить HTTP версию
Рейтинг скрыт
либо врубай режим https-only (тогда на мобилке не будет опции исключения сайта)

На ПК — да, он работает нормально. Но на мобилке этот режим можно включить только в бета-версии через about:config, который недоступен в релизе. А когда включил — то при посещении, условно, lib.ru, показывает либо "the connection was reset", либо она на страницу зайти нельзя, но кнопки "войти все равно" нету.

Рейтинг скрыт
Вероятнее всего и в Chrome речи о мобильном сегменте не идёт. Проверить Chrome не могу. Напишите если я не прав
Рейтинг скрыт

И даже без исключения для local host? Блин

Рейтинг скрыт
И там еще Chrome больше не даёт качать файлы по http с https сайтов. Класс, да?
Рейтинг скрыт
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr