「HTTPS everywhere」拡張機能は安全ですか？

NoScript を使用して、接続がhttps経由であることを確認することもできます。 NoScriptには、XSS保護、クリックジャッキング検出、ABE（ブラウザーのファイアウォールのようなもの）など、他にも多くの防御機能が付属しています。 NoScriptは何年も前から存在しており、高く評価され、尊敬されています。

以前に返信したように、HTTPS Everywhereに対してSSLstripを引き続き使用できることを理解する必要があります。少し検索すると、この link および test （前のリンクに関連）にも出くわしましたが、HTTPSEverywhereはスプーフィング攻撃から保護していないようです。このトピックに関連して、多くの優れた情報を含む this one と、sslstrip攻撃からの保護方法に関するこの one も見つけることができます。

楽しんで読んでください;）

この拡張機能は非常にシンプルで、一般的に2つの理由で安全に使用できると思います。

まず、Qについて。 HTTPS Everywhereはいつ私を保護しますか？ HTTPS EverywhereウェブサイトFAQページ のセクションセクション

HTTPS Everywhereは、使用する個々のWebサイトのセキュリティ機能に完全に依存しています。これらのセキュリティ機能がアクティブになりますが、まだ存在しない場合は作成できません。

つまり、拡張機能は可能であればHTTPSを自動的にオンにするだけで、ユーザーのブラウザーとWebサイトの間で通信しません。

第二に、それはオープンソースであり、 ソースコードは公開されています です。つまり、可能であれば、誰でも拡張機能の動作にアクセスして読み取ることができます。

ただし、私の意見では、拡張機能の説明は誤解を招くようです。これは、拡張機能がWebサイトで「通信を暗号化」すると主張しているためです。この拡張機能は、可能であれば単にhttpからhttpsに切り替えるだけで、データの送信には何もしません。

HTTPS Everywhereは優れた機能ですが、問題はユーザーブラウザーとブラウザーの種類に依存していることです。さらに、モバイルとタブレットのブラウザを管理するのが本当に難しい場合。

サーバー自体からのHTTPS施行を処理することが理想的です。機密性の高いポータルをホストしている場合は、すべてのページ（サーブレットなど）の安全なセッションに進むことができます。それ以外の場合は、特定のページにそれらを強制することもできます。サーバー側から必要な場合は常にトランスポート層のセキュリティを確保する必要があると思います。したがって、ログイン/認証または機密のユーザーデータが表示されるページは、HTTPSを使用して保護する必要があり、HTTPを使用してリンクを呼び出すことはサーバーによって拒否される必要があります。

セッションのオーバーヘッドによってクライアントとサーバーの両方でより多くの帯域幅が消費されるため、すべてのページまたは画像などのデータに安全なセッションを強制しない方がいい場合があります。

HTTPS Everywhereのセキュリティに関する限り、セキュリティで保護することはできますが、セキュリティの実施のためにその動作とプロパティに依存することはできません。機密ページまたは認証ページがサーバーから適用されるHTTPSチャネルを通過するようにする必要がある両方の方法。