Firefox-Add-on / Userscript, um standardmäßig einen HTTPS-Versuch auf jeder Domain zu erzwingen?

Ich verwende HTTPS Everywhere in Firefox, aber es erzwingt HTTPS nur für eine sehr begrenzte Anzahl sehr bekannter Websites (standardmäßig).

Ich verwende eine Vielzahl viel kleinerer Websites, die HTTPS-Versionen haben, aber wenn sie zu HTTP wechseln, erzwingen sie ihr HTTPS nicht automatisch (geschweige denn HSTS ), es sei denn, ich erinnere mich ausdrücklich daran, HTTPS einzugeben (und/oder alle hinzuzufügen ihre Domains auf die Whitelist in HTTPS Everywhere), verwende ich immer wieder unsichere Versionen von Websites, die ich dank eines genialen Firefox-Add-Ons oder Benutzerskripts leicht automatisch auf die sichere Version umstellen könnte.

Es mag ein leichtes Usability-Handicap mit sich bringen, aber ich würde das Konzept gerne ausprobieren, um möglicherweise viel, viel mehr Privatsphäre vor abhörenden Schnüfflern im Internet zu haben. (wie mein VPN, mein ISP oder andere schändliche Parteien wie die NSA.)

Es könnte sogar nur ein sehr einfaches Greasemonkey-Skript sein. Ich könnte mir vorstellen, dass es gehen würde:

  • Erzwingen Sie, dass jede Seite in der URL zu geändert wird, falls dies noch nicht geschehen httpist .httpshttps
  • Wenn httpsdie Seite normal mit Standard-HTTP-Antwort geladen wird, tun Sie nichts (Mission erfüllt).
  • Wenn httpsdie Seite nicht geladen werden kann, kehren Sie zurück httpund fügen Sie die Domain als @excludeEintrag im Skript hinzu (oder eine andere elegante Möglichkeit, eine „schwarze Liste“ im Skript zu erstellen), damit kein erneuter Versuch unternommen wird.

Ich wüsste aber nicht, wie man das codiert.

Als toller Bonus könnte es eine Schaltfläche / Benachrichtigung mit der Aufschrift „Boo, diese Seite existiert nicht in HTTPS!“ einführen. um mich daran zu erinnern, wenn ich mich gerade auf einer „unsicheren“ Seite befinde, damit ich vielleicht damit anfangen kann, diese Seiten weniger zu nutzen und mich stattdessen an diejenigen halte, von denen ich weiß, dass sie nicht so oft ausspioniert werden können.

Und übrigens, was Probleme mit (schlechten) Zertifikaten (Vertrauenswürdigkeit) betrifft: Ich würde lieber immer noch automatisch ein Zertifikat verwenden, das eine Site verwendet, und einen zweiten Schritt der Überprüfung durchführen, wenn ich mich tatsächlich anmelden werde, anstatt automatisch zu gehen NICHT sichere Version unzähliger faul konfigurierter Seiten, ohne es zu merken.

Antworten (1)

Es gibt eine verwandte Frage zu SO: Wie ersetzt man mit Greasemonkey http-Links zu https auf der ganzen Seite? Aber das würde nur Ihre erste Bedingung erfüllen. Das NoScript-Addon zu Firefox hat scheinbar auch die Möglichkeit, https zu erzwingen – allerdings muss man hier die Seitenliste manuell konfigurieren.

Obwohl diese beiden nicht alle Ihre Bedingungen erfüllen, brachte meine Recherche einen interessanten Artikel bei Geeks.IM mit dem Titel How to Redirect from HTTP to HTTPS Automatically in Firefox hervor , der HTTPS Finder für diesen Zweck empfiehlt:

HTTPS Finder sendet eine kleine HTTPS-Anforderung an jede HTTP-Seite, zu der Sie navigieren. Wenn eine SSL-Verbindung erkannt wird, wird die HTTPS-Verbindung sofort erzwungen. Sie können sich benachrichtigen lassen, wenn es eine solche sicherere Verbindung erkannt hat, oder automatisch an HTTPS weiterleiten.

Das scheint genau das zu sein, was Sie wollen. Um Ihnen ein paar Anschauungsmaterial zu geben:

HTTPS Finder-Einstellungen
HTTPS Finder Preferences (Quelle: Geeks.IM ; Bild anklicken für größere Variante)

Wie Sie in den „Ergebnissen der Sitzungserkennung“ sehen können, bietet Ihnen dieses Addon sogar den zusätzlichen Vorteil, dass Sie sehen können, wie sicher dieses https wirklich ist, wenn es um „sekundäre Daten“ wie Cookies geht, die Sie unbedingt schützen möchten (denken Sie an Ihre Session-IDs).

Da der HTTPS Finder von der Mozilla-Addons-Site entfernt wurde, finden Sie den .xpiim Download-Bereich des Projekts . Leider sieht es so aus, als ob dieses Addon nicht mehr gepflegt wird (die letzte aufgeführte Version ist von 12/2013), daher kann ich Ihnen nicht sagen, ob es noch mit neueren Versionen von Firefox kompatibel ist (oder zum Laufen gebracht werden kann). 1

Aktualisierung: 2

Ein Addon, das den genau entgegengesetzten Ansatz verfolgt, ist HTTP Nowhere , dessen Hauptfunktion darin besteht, alle von Ihnen besuchten HTTP-URLs zu blockieren, das aber auch eine Option in seinen Einstellungen hat: „Immer HTTPS versuchen, anstatt zu blockieren“. Damit würde ungesichertes Surfen ganz vermieden: Entweder findet es eine gesicherte Variante, oder es hindert Sie daran, auf die angeforderte URL zuzugreifen. Das OP hat es versucht, und es funktioniert gut, und selbst wenn es zugegebenermaßen eine wichtige (nicht abschaltbare) Funktion (HTTP-Blockierung) hat, die technisch nicht im Rahmen der ursprünglichen Frage liegt, hat er sich für diese entschieden und es funktioniert großartig sowohl mit Whitelisting als auch mit Blacklisting, in beide Richtungen.

HTTP Nowhere-Einstellungen
HTTP Nowhere- Einstellungen (Bild anklicken für größere Variante)

Dieses Addon ist zwar noch bei AMO erhältlich, aber es ist auch nicht klar, ob es noch aktiv gepflegt wird: Mit seiner letzten Version vom 9/2013 ist es sogar noch älter.

1: Wie das OP betont: Ich habe gerade überprüft, was Sie gefunden haben. Ich würde sagen, es entspricht nicht der Rechnung, da es so aussieht, als würde es auf HTTPS „überprüfen“, anstatt es zu FORCIEREN (und dann zu sehen, ob es funktioniert), und Ich denke, erst nach dem Laden der gesamten HTTP-Seite. Für mich scheint dies insofern teilweise richtig zu sein, als es an der httpURL * festhält, wenn kein https dafür gefunden wurde . Im verlinkten Artikel heißt es: Sie können sich benachrichtigen lassen, wenn es eine solche sicherere Verbindung erkannt hat, oder automatisch auf HTTPS weiterleiten .
2: wie vom OP angefordert mit den von ihm bereitgestellten Informationen

HTTPS überall (zumindest ab sofort) hat auch die gleiche block all HTTP trafficOption.
Firefox-Add-on / Userscript, um standardmäßig einen HTTPS-Versuch auf jeder Domain zu erzwingen?
AntwortenHierDatenschutz-Bestimmungen1y, 0v