가능한 경우 Chrome에서 HTTP 대신 HTTPS를 시도하도록 하시겠습니까?

43

많은 웹 사이트에서 HTTP와 HTTPS를 모두 제공합니다 (예 : http://stackoverflow.comhttps://stackoverflow.com).

stackoverflow.com주소 표시 줄 에만 입력 할 때 Chrome이 HTTP보다 먼저 HTTPS를 시도하도록 할 수 있습니까?

google-chrome  https 
키우에
소스
5
일부 사이트는 다른 프로토콜로 다른 컨텐츠를 생성합니다.
把 友情 留 在 无 盐
2
공격자가 http에 대한 폴백을 매우 쉽게 트리거 할 수 있기 때문에 많은 보안을 추가하지 않습니다. 추가 보안을 원한다면 브라우저는 https를 통해 이전에 작동했던 도메인을 기억해야하며 https가 과거에 작동했던 사이트에서 http로 자동으로 넘어 가지 않아야합니다. ( 링크를 직접 입력 http://하고 사용할 수 있기 때문에 HSTS만큼 엄격하지는 않습니다 http:.)
kasperd
@soubunmei 궁금합니다. 그에 대한 예가 있습니까?
paradroid
@paradroid 이론적으로는 가능하지만 실제로 누군가가 실제로 그렇게 한 경우 놀랍습니다 (vhost 구성에 포트를 추가 할 수 있음 참조) -httpd.apache.org/docs/2.2/mod/core.html#virtualhost
셰인

답변:

52

HTTPS Everywhere Chrome 확장 프로그램을 사용해 볼 수 있습니다.

부갑상선
소스
1
이것은 더 많은 사용자와 오픈 소스 코드의 확장으로 보입니다. 시도해보십시오.
kiewic
2
이것은 내가이 제목을 읽을 때 내 마음에 떠오른 첫 번째 것입니다. 그러나 일부 내용이 손상 될 수 있습니다. 그것이 HTTPS가있는 페이지를 요청하고 작동하지만 이상한 이유로 XHR을 사용하여 페이지에 연결하기 위해 HTTP를 사용할 수 없다면 버그가있는 페이지가 남게됩니다.
Ismael Miguel
2
@IsmaelMiguel 아마도 브라우저를 강화시키는 확장 프로그램에 대한 좋은 면책 조항 일 것입니다. 보안 향상은 대개 약간의 유용성을 희생합니다. 안전하다고 생각되면 활성화하는 옵션이있는 IMO "기본적으로 차단"이 대안보다 훨씬 우수하지만 최종 사용자 인식이 필요합니다.
Mike Ounsworth 16:12에
2
@MikeOunsworth 이러한 인식은 대부분의 사용자에게 거의 영향을 미치지 않습니다. 대부분 "증가 된 안전 및 개인 정보 보호"만 읽고 바로 사용하십시오. 그런 다음 확장 기능을 비난합니다. 그러나 여전히 여기에 추가하는 것이 좋습니다. Tor가 StackExchange에 문제가 있음을 알고 있습니다.
Ismael Miguel
29

Chrome에서 HTTPS 강제

Google은이를 위해 더욱 적극적으로 노력하는 회사 중 하나입니다. 탐색을 최대한 안전하게하기 위해 Chrome에서 HTTPS를 강제 실행할 수있는 몇 가지 방법이 있습니다.

HTTPS가 포함 된 시작 Chrome

Chrome은 주소 표시 줄에 chrome : // net-internals /를 입력 한 다음 HSTS 메뉴 항목을 포함합니다. HSTS는 HTTPS 엄격한 전송 보안 : 사이트에서 항상 HTTPS를 사용하도록 선택할 수있는 방법입니다. HSTS는 Chrome에서 지원됩니다. 이제이 설정을 사용하면 원하는 모든 도메인에 대해 HTTPS를 강제로 적용하고 해당 도메인을 "고정"하여 더 신뢰할 수있는 CA 하위 집합 만 해당 도메인을 식별 할 수 있습니다. 단점은 SSL이없는 도메인을 강제로 사용하면 사이트에 접속할 수 없다는 것입니다.

Chromium.org

KB SSL Enforcer 확장을 사용하여 HTTPS 강제 적용

이 확장 프로그램은 Chrome에서 HTTPS를 지원하는 웹 사이트를 강제로 지원합니다. 악명 높은 Firesheep에 대해 완전히 안전하지는 않지만 위험을 크게 최소화합니다. Chrome 제한으로 인해 KB SSL Enforcer는 페이지를로드하는 동안 페이지를 리디렉션합니다. 암호화되지 않은 페이지가 빠르게 깜박이지만 가능한 빨리 리디렉션됩니다.

KB SSL 시행자

Chrome에서 HTTPS를 강제 실행하는 HTTP 확장

HTTP를 사용하면 정의 된 사이트가 HTTP 대신 HTTPS를 사용하게됩니다. Facebook과 Twitter라는 두 가지 정의 된 사이트가 미리로드되어 있습니다. 이전 확장과 마찬가지로 초기 요청은 HTTPS를 사용하지 않는 사이트로 전송됩니다.

HTTPS 사용

0m3r
소스
1
HSTS 의 존재 여부 는 클라이언트가 아닌 서버 운영자에 의해 결정됩니다.
CVn
4
@ MichaelKjörling 사실, 그것은 클라이언트가 미리로드 된 목록을 가질 수 있기 때문에 부분적으로 클라이언트에 의존합니다 (답변의 크롬 링크에 설명되어 있음).
Bruno
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.