特定のドメインに接続しているときに、クライアントマシンのみを使用してブラウザのみをhttpsに強制する方法
特定のURL /ドメインへのhttps接続のみをクライアント(ブラウザまたはホストマシンなど)に強制することは可能ですか?
(可能であれば非管理者/ルート修正)
ここに偽造シナリオがあります:
誰かがウェブサイトをホストしていて、http-> httpsリダイレクトを行わず、ウェブサーバーがそれぞれ80/443 http/httpsでリクエストを処理しているとしましょう。
私たちは会社で働くクライアントマシンであり、何らかの理由でWebサーバーを修正することはありません。プロキシとして使用する他のマシンがなく、ネットワークを制御できません。これで、ブックマーク(またはアクションが常にhttpsに到達するように強制する他の形式のワークフロー)を作成できましたが、「これを使用しない限り、このドメイン/ URLに接続しないでください」と言うことができるブラウザに組み込まれた方法が必要ですプロトコル"。
可能であれば、これが私の推奨するアプローチです。
これは、誤ってhttpバージョンにアクセスするとセッションIDが漏洩し、そこにログインするとRIPパスワードが漏洩するため、セキュリティに重点を置いている人にとっては非常にイライラします。
私はオンラインで検索しましたが、驚くべきことに何も見つかりませんでした。
これは HTTPS Everywhere のような拡張機能を使用して実行できることがすでにわかっています。そして、あなたはブラウザがデフォルトでこれをしないことを発見しました。したがって、保護を提供しない「ブラウザで何もしない」オプションまたは「クライアントで何かをする」オプションがあり、プラグインをインストールすることですでに問題が解決されています。それとは別に HSTS preloading があります。ブラウザは、特定のサイトが以前にこれらのサイトに接続したことがなくても、常にHTTPSを使用することを認識しています。
HSTSプリロードのようなものが必要だが、HSTSパブリックプリロードリストにないドメインの場合、Chromeでchrome://net-internals/#hstsにアクセスしてローカルHSTSリストにドメインを追加できます。 Google ChromeでHSTSを手動で適用する も参照してください。