Me gustaría saber si debería usar la extensión 'HTTPS everywhere' ? ¿Es seguro usarlo? ¿Hay alternativas mejores?
HTTPS Everywhere es una extensión de Firefox y Chrome que encripta tu Comunicaciones con muchos sitios web importantes, lo que hace que su navegación sea más seguro. Cifre la web: instale HTTPS en todas partes hoy.
También puede usar NoScript para asegurarse de que sus conexiones están a través de https. NoScript también viene con una tonelada de otras defensas que incluyen protección XSS, detección de clickjacking, ABE (algo así como un firewall en su navegador) y muchos más. NoScript ha existido durante años y es muy respetado y respetado.
Como respondí antes, debes entender que aún puedes usar SSLstrip contra HTTPS Everywhere. Al buscar un poco, también encontré este enlace y este test (relacionado con el enlace anterior), parece que HTTPSEverywhere no lo protege contra ataques de suplantación de identidad. En relación con este tema, también podría encontrar éste que contiene una gran cantidad de buena información, y esta one sobre cómo para proteger de los ataques sslstrip.
Diviértete leyendo;)
Creo que esta extensión es bastante simple y generalmente segura de usar por dos razones:
En primer lugar, en Q. ¿Cuándo me protege HTTPS Everywhere? ¿Cuándo no me protege? en la página página de preguntas frecuentes del sitio web HTTPS Everywhere
HTTPS en todas partes depende completamente de las características de seguridad del sitios web individuales que usted utiliza; activa esas seguridad características, pero no puede crearlas si no existen ya.
Esto significa que la extensión simplemente activa HTTPS automáticamente, si es posible, y no se comunica entre el navegador del usuario y el sitio web.
En segundo lugar, es de código abierto y el código fuente es público . Significa que cualquier persona puede acceder y leer cómo funciona la extensión si es posible.
Sin embargo, en mi opinión, la descripción de la extensión parece engañosa, ya que afirma "encripta sus comunicaciones" en su sitio web. Esta extensión simplemente cambia de http a https si es posible y no hace nada con la transmisión de los datos.
HTTPS Everywhere es una gran característica, pero el problema que veo es que depende del navegador del usuario y del tipo de navegador. Además, será realmente difícil administrar el navegador de dispositivos móviles y tabletas.
Será ideal si manejamos la aplicación de HTTPS desde su propio servidor. Si está alojando un portal muy confidencial, entonces puede solicitar una sesión segura para todas las páginas (servlets, etc.), de lo contrario, también puede aplicarlas en páginas particulares. Creo que estamos obligados a garantizar la seguridad de la capa de transporte cuando sea necesario desde el propio servidor. Por lo tanto, las páginas donde se muestra el inicio de sesión / autenticación o los datos confidenciales del usuario deben protegerse mediante HTTPS y el servidor debe denegar el enlace mediante HTTP.
A veces tiene sentido no imponer una sesión segura para todas las páginas o datos, por ejemplo, imágenes, ya que la sobrecarga de la sesión consumirá más ancho de banda tanto para el cliente como para el servidor.
En lo que se refiere a la seguridad de HTTPS en todas partes, podría estar asegurada pero no puede confiar en su comportamiento y propiedades para la aplicación de la seguridad. De ambas formas, debe asegurarse de que las páginas confidenciales o las páginas de autenticación tengan que pasar por el canal HTTPS que se aplica desde su servidor.
Lea otras preguntas en las etiquetas web-browser tls sslstrip browser-extensions