Forcer Chrome à essayer HTTPS au lieu de HTTP lorsque cela est possible?

De nombreux sites Web proposent à la fois HTTP et HTTPS, par exemple, http://stackoverflow.com et https://stackoverflow.com.

Existe-t-il un moyen de forcer Chrome à essayer HTTPS avant HTTP lorsque je ne saisis que stackoverflow.comla barre d'adresse?

google-chrome https

— Kiewic
source

Notez que certains sites produisent des contenus différents avec des protocoles différents.

— 把友情留在无盐

Cela n'apportera pas beaucoup de sécurité car un attaquant peut provoquer assez facilement un repli sur http. Si vous voulez vraiment une sécurité supplémentaire, le navigateur doit se souvenir des domaines qui fonctionnaient auparavant sur https et ne pas automatiquement revenir à http sur des sites où https fonctionnait auparavant. (Cela ne serait pas strict comme HSTS, car vous pouvez toujours taper http://et utiliser manuellement des http:liens.)

— kasperd

@soubunmei je suis curieux. Avez-vous des exemples de cela?

— Paradroid

@paradroid c'est théoriquement possible, mais je serais surpris que quelqu'un le fasse en pratique (vous pouvez ajouter un port à votre configuration vhost) - httpd.apache.org/docs/2.2/mod/core.html#virtualhost

— Shane

Réponses:

Vous pouvez essayer cette extension HTTPS Everywhere Chrome.

— paradroïde
source

Cela semble être l'extension avec plus d'utilisateurs et de code source ouvert. Donner un essai.

— kiewic

C’est exactement la première chose qui m’est venue à l’esprit lorsque j'ai lu ce titre. Mais gardez à l'esprit que cela peut casser des choses. S'il demande une page avec HTTPS et que cela fonctionne, mais pour une raison étrange, il ne peut pas utiliser HTTP pour se connecter à une page à l'aide de XHR, il vous restera alors une page avec un buggy.

— Ismael Miguel

@IsmaelMiguel c'est probablement un bon déni de responsabilité pour toute extension qui durcit votre navigateur; une sécurité accrue se fait généralement au détriment de la convivialité. IMO "bloc par défaut" avec la possibilité d'activer si vous vous sentez en sécurité est bien mieux que l'alternative, mais nécessite une certaine sensibilisation de l'utilisateur final.

— Mike Ounsworth

@ MikeOunsworth Une telle connaissance est presque nulle pour la plupart des utilisateurs. La plupart ne lisent que "sécurité et confidentialité accrues" et se lancent immédiatement dans son utilisation. Ensuite, ils accusent l'extension pour cela. Mais encore, ce devrait être une bonne idée de l'ajouter ici. Je sais que Tor a quelques problèmes avec StackExchange.

— Ismael Miguel

Forcer HTTPS dans Chrome

Google est l’une des entreprises les plus agressives qui poussent pour que cela se produise. Vous pouvez forcer HTTPS dans Chrome de différentes manières pour que votre navigation soit la plus sûre possible.

Démarrage Chrome avec HTTPS

Chrome prend en charge la saisie de chrome: // net-internals / dans votre barre d’adresse, puis inclut l’élément de menu HSTS. HSTS est HTTPS Strict Transport Security: un moyen pour les sites de choisir de toujours utiliser HTTPS. HSTS est pris en charge dans Google Chrome. Grâce à ce paramètre, vous pouvez désormais forcer HTTPS pour le domaine de votre choix, et même «épingler» ce domaine afin que seul un sous-ensemble d'autorités de certification plus fiables soit autorisé à l'identifier. L'inconvénient est que si vous forcez un domaine qui n'a pas du tout le protocole SSL, vous ne pourrez pas accéder au site.

Chromium.org

Forcer HTTPS avec l'extension KB SSL Enforcer

Cette extension forcera HTTPS dans Chrome pour les sites Web prenant en charge. Elle n'est pas totalement sécurisée contre le tristement célèbre Firesheep, mais elle minimise considérablement les risques. En raison des limitations de Chrome, KB SSL Enforcer redirige la page pendant le chargement. Vous obtenez un scintillement rapide de la page non chiffrée, mais celle-ci vous redirige le plus rapidement possible.

KB SSL Enforcer

Extension HTTP pour forcer HTTPS dans Chrome

Utiliser HTTP obligera les sites définis à utiliser HTTPS au lieu de HTTP. Il est préchargé avec deux sites définis: Facebook et Twitter. Comme pour l'extension précédente, la demande initiale est envoyée au site qui n'utilise pas HTTPS.

Utilisez HTTPS

— 0m3r
source

Notez que la présence de HSTS est déterminée par l'opérateur du serveur et non par le client.

— un CVn

@ MichaelKjörling En fait, cela dépend en partie du client, car il peut avoir des listes pré-chargées (comme expliqué dans le lien Chromium de la réponse).

— Bruno