Forçar o Chrome a tentar HTTPS em vez de HTTP, quando possível?

Muitos sites oferecem HTTP e HTTPS, por exemplo, http://stackoverflow.com e https://stackoverflow.com

Existe alguma maneira de forçar o Chrome a experimentar o HTTPS antes do HTTP quando digito apenas stackoverflow.comna barra de endereços?

google-chrome https

— kiewic
fonte

Observe que alguns sites produzem conteúdo diferente com protocolos diferentes.

— 盐友情留在无

Isso não adicionará muita segurança porque um invasor pode desencadear um fallback para http com bastante facilidade. Se você realmente deseja segurança adicional, o navegador precisa se lembrar de quais domínios funcionavam anteriormente em https e não volta automaticamente para http em sites onde https funcionava anteriormente. (Isso não seria um rigoroso como HSTS, porque você ainda pode digitar manualmente http://e usar http:links.)

— kasperd

@soubunmei Estou curioso. Você tem algum exemplo disso?

— Paradroid

@paradroid é teoricamente possível, no entanto, ficaria surpreso se alguém fizesse isso na prática (veja você pode adicionar uma porta à sua configuração de vhost) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane

Respostas:

Você pode tentar esta extensão do Chrome HTTPS Everywhere .

— paradroid
fonte

Esta parece ser a extensão para mais usuários e código-fonte aberto. Dando uma chance.

— Kiewic

Esta foi exatamente a primeira coisa que me veio à mente quando li este título. Mas lembre-se de que isso pode quebrar algumas coisas. Se ele solicitar uma página com HTTPS e funcionar, mas por algum motivo estranho, ele não puder usar o HTTP para conectar-se a uma página usando XHR, você ficará com uma página de buggy.

— Ismael Miguel

@IsmaelMiguel provavelmente é um bom aviso para qualquer extensão que endurece seu navegador; o aumento da segurança geralmente ocorre às custas de alguma usabilidade. O IMO "bloco por padrão" com a opção de habilitar se você se sentir seguro é muito melhor que a alternativa, mas requer alguma conscientização do usuário final.

— Mike Ounsworth

@ MikeOunsworth Essa conscientização é quase nula para a maioria dos usuários. A maioria lê apenas "maior segurança e privacidade" e passa a usá-lo. Então eles culpam a extensão por isso. Ainda assim, deve ser uma boa ideia adicioná-lo aqui. Eu sei que o Tor tem alguns problemas com o StackExchange.

— Ismael Miguel

Forçar HTTPS no Chrome

O Google é uma das empresas mais agressivas que pressionam para que isso aconteça. Aqui estão várias maneiras de forçar o HTTPS no Chrome para garantir que sua navegação seja o mais segura possível.

Inicialização do Chrome com HTTPS

O Chrome suporta digitar chrome: // net-internals / na barra de endereço e incluir o item de menu HSTS. HSTS é HTTPS Strict Transport Security: uma maneira de os sites optarem por sempre usar HTTPS. O HSTS é suportado no Google Chrome. Usando essa configuração, agora você pode forçar o HTTPS para qualquer domínio que desejar e até "fixar" esse domínio para que apenas um subconjunto de CAs mais confiável possa identificar esse domínio. A desvantagem é que, se você forçar um domínio que não possui SSL, não poderá acessar o site.

Chromium.org

Forçar HTTPS com extensão KB SSL Enforcer

Essa extensão forçará o HTTPS no Chrome para sites compatíveis. Não é totalmente seguro contra o famoso Firesheep, mas minimiza bastante o risco. Devido às limitações do Chrome, o KB SSL Enforcer redireciona a página durante o carregamento. Você vê rapidamente a página não criptografada, mas ela o redireciona o mais rápido possível.

KB SSL Enforcer

Extensão HTTP para Force HTTPS no Chrome

Usar HTTP força os sites definidos a usar HTTPS em vez de HTTP. Ele vem pré-carregado com dois sites definidos: Facebook e Twitter. Como a extensão anterior, a solicitação inicial é enviada para o site que não usa HTTPS.

Use HTTPS

— 0m3r
fonte

Observe que a presença do HSTS é determinada pelo operador do servidor, não pelo cliente.

— um CVn

@ MichaelKjörling Na verdade, depende em parte do cliente, pois ele pode ter listas pré-carregadas (como explicado no link do Chromium na resposta).

— Bruno