¿Es seguro usar la extensión “HTTPS en todas partes”?

16

Me gustaría saber si debería usar la extensión 'HTTPS everywhere' ? ¿Es seguro usarlo? ¿Hay alternativas mejores?

  

HTTPS Everywhere es una extensión de Firefox y Chrome que encripta tu   Comunicaciones con muchos sitios web importantes, lo que hace que su navegación sea más   seguro. Cifre la web: instale HTTPS en todas partes hoy.

    
pregunta vaichidrewar 25.06.2012 - 02:07
fuente

5 respuestas

11

EFF es una organización altamente respetada dedicada a proteger la privacidad en las comunicaciones electrónicas. Sería contra sus intereses poner en peligro la privacidad de las personas a través de sus productos.

    
respondido por el dnbrv 25.06.2012 - 08:17
fuente
3

También puede usar NoScript para asegurarse de que sus conexiones están a través de https. NoScript también viene con una tonelada de otras defensas que incluyen protección XSS, detección de clickjacking, ABE (algo así como un firewall en su navegador) y muchos más. NoScript ha existido durante años y es muy respetado y respetado.

    
respondido por el Mark Hillick 26.06.2012 - 10:36
fuente
2

Como respondí antes, debes entender que aún puedes usar SSLstrip contra HTTPS Everywhere. Al buscar un poco, también encontré este enlace y este test (relacionado con el enlace anterior), parece que HTTPSEverywhere no lo protege contra ataques de suplantación de identidad. En relación con este tema, también podría encontrar éste que contiene una gran cantidad de buena información, y esta one sobre cómo para proteger de los ataques sslstrip.

Diviértete leyendo;)

    
respondido por el noktec 26.06.2012 - 11:51
fuente
1

Creo que esta extensión es bastante simple y generalmente segura de usar por dos razones:

En primer lugar, en Q. ¿Cuándo me protege HTTPS Everywhere? ¿Cuándo no me protege? en la página página de preguntas frecuentes del sitio web HTTPS Everywhere

  

HTTPS en todas partes depende completamente de las características de seguridad del   sitios web individuales que usted utiliza; activa esas seguridad   características, pero no puede crearlas si no existen ya.

Esto significa que la extensión simplemente activa HTTPS automáticamente, si es posible, y no se comunica entre el navegador del usuario y el sitio web.

En segundo lugar, es de código abierto y el código fuente es público . Significa que cualquier persona puede acceder y leer cómo funciona la extensión si es posible.

Sin embargo, en mi opinión, la descripción de la extensión parece engañosa, ya que afirma "encripta sus comunicaciones" en su sitio web. Esta extensión simplemente cambia de http a https si es posible y no hace nada con la transmisión de los datos.

    
respondido por el baxang 24.03.2015 - 08:00
fuente
0

HTTPS Everywhere es una gran característica, pero el problema que veo es que depende del navegador del usuario y del tipo de navegador. Además, será realmente difícil administrar el navegador de dispositivos móviles y tabletas.

Será ideal si manejamos la aplicación de HTTPS desde su propio servidor. Si está alojando un portal muy confidencial, entonces puede solicitar una sesión segura para todas las páginas (servlets, etc.), de lo contrario, también puede aplicarlas en páginas particulares. Creo que estamos obligados a garantizar la seguridad de la capa de transporte cuando sea necesario desde el propio servidor. Por lo tanto, las páginas donde se muestra el inicio de sesión / autenticación o los datos confidenciales del usuario deben protegerse mediante HTTPS y el servidor debe denegar el enlace mediante HTTP.

A veces tiene sentido no imponer una sesión segura para todas las páginas o datos, por ejemplo, imágenes, ya que la sobrecarga de la sesión consumirá más ancho de banda tanto para el cliente como para el servidor.

En lo que se refiere a la seguridad de HTTPS en todas partes, podría estar asegurada pero no puede confiar en su comportamiento y propiedades para la aplicación de la seguridad. De ambas formas, debe asegurarse de que las páginas confidenciales o las páginas de autenticación tengan que pasar por el canal HTTPS que se aplica desde su servidor.

    
respondido por el Mohit Sethi 26.06.2012 - 14:49
fuente

Lea otras preguntas en las etiquetas