Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STORE!)

15 nov 2015, 11:43

>>LADDA NER: https://chrome.google.com/webstore/deta ... adnfimnnkh <<

Hej!

Jag fick den underbara idén att man ska tvinga alla sidor som kör HTTPS att även addera en HSTS-flagga. Väldigt enkel finess som ger så mycket säkerhet!!

Så Per kodade ihop något mycket enkelt och gör precis det! https://github.com/redpois0n/hsts-enforcer-chrome


Detta enkla plugin fungerar så här:

Om det finns en HSTS-flagga, gör inget(eftersom vi inte vill skriva över den)
Om det inte finns en HSTS-flagga, lägg till den!

Detta är alltså bättre än HTTPS Everywhere eftersom nu kommer du tvinga webbläsaren att enbart upprätta säkra och giltiga anslutningar under en viss period till den domänen.

Underbart plug-in till Chrome!
keybase.io/dotchloe | chloe.re | chloe.website

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: HSTS Enforcer - HTTPS Everywhere på steroider!!

15 nov 2015, 14:12

Detta kommer upp på chrome webstore så fort vi kan! Lite småfix kvar men det fungerar bra och gör vad det ska.

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: HSTS Enforcer - HTTPS Everywhere på steroider!!

16 nov 2015, 21:00

Vi har nu publicerat det på Chrome Webstore! https://chrome.google.com/webstore/deta ... adnfimnnkh

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: HSTS Enforcer - HTTPS Everywhere på steroider!!

16 nov 2015, 23:19

Jag bara älskar detta plug-in!! Det är så skönt i hjärtat att se att allt jag besöker över HTTPS numera blir tvingat i framtiden <3 :D

Just nu håller jag på att gå igenom Alexa's top 1 miljon hemsidor för att se vilka som skapar problem med detta plug-in. Detta kollar jag genom att besöka alla sidor över HTTPS och om jag får en location som pekar på HTTP så ska den sidan läggas till i ignorera-listan och detta är för att sidan stödjer HTTPS men låter inte användaren besöka via den, alltså kommer vårt plug-in lyckas sätta HSTS-fältet och sedan kommer servern be oss gå vidare till HTTP så det bli alltså en konflikt.

Exempel på sidor är Aftonbladet.se, 9gag.com och pastebin.com. Detta är alltså väldigt dåliga sidor som verkligen inte värdesätter säkerhet för sina besökare. En väldigt stor skam om jag ska vara ärlig.

Nåväl, se till att ladda ner HSTS-Enforcer nu!! Och snälla skriv, skapa pull request eller maila mig om nu hittar något fel eller om ni har tips på förbättringar!

TILLSAMMANS GÖR VI WEBBEN SÄKRARE!
keybase.io/dotchloe | chloe.re | chloe.website

Användarvisningsbild
ttt
Respekterad Medlem
Inlägg: 121
Blev medlem: 19 jan 2015, 01:27

Re: HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STO

17 nov 2015, 00:02

Chloë skrev:Just nu håller jag på att gå igenom Alexa's top 1 miljon hemsidor för att se vilka som skapar problem med detta plug-in. Detta kollar jag genom att besöka alla sidor över HTTPS och om jag får en location som pekar på HTTP så ska den sidan läggas till i ignorera-listan och detta är för att sidan stödjer HTTPS men låter inte användaren besöka via den, alltså kommer vårt plug-in lyckas sätta HSTS-fältet och sedan kommer servern be oss gå vidare till HTTP så det bli alltså en konflikt.

Var på en framläggning för något år sedan som handlade om precis det där. Halvsov och minns inte resultatet i detalj, men det var skrämmande låg andel av de svenska domänerna som länkade alla resurser över HTTPS.

Han hade undersökt både det fetmarkerade men också haft någon webbläsarliknande klient för att hämta allt länkat material som krävdes för att visa sidan.

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STO

17 nov 2015, 12:43

ttt skrev:Var på en framläggning för något år sedan som handlade om precis det där. Halvsov och minns inte resultatet i detalj, men det var skrämmande låg andel av de svenska domänerna som länkade alla resurser över HTTPS.

Haha, ja, skrämmande är verkligen rätt ord. Det finns en del teorier varför de fortfarande använder HTTP och det kan vara för att man får en högre Alexa-rank med HTTP då Alexa enbart räknar med HTTP-sidor, eller iallafall har gjort, dvs sidan kan ha bytt över helt till HTTPS så kommer den vara kvar i listan ett bra tag till.

Sed handlar det väl om kompatibilitet, man vill att så många som möjligt ska läsa deras skit. Man tror HTTPS kommer knasa till det eller nått. Oh well.
keybase.io/dotchloe | chloe.re | chloe.website

Användarvisningsbild
HWMNBN
Inlägg: 165
Blev medlem: 15 okt 2014, 18:33

Re: HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STO

17 nov 2015, 14:20

Ja, mycket snyggt får jag
säga! Fint skriven kod i

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STO

18 nov 2015, 15:38

0.3 finns som sagt ute nu i Chrome Webstore att tanka hem, och en uppdatering kommer att släppas snart med uppdaterad ignore-lista.

Användarvisningsbild
red
Respekterad Medlem
Inlägg: 303
Blev medlem: 08 nov 2014, 14:06
Områden: Programmering

Re: HSTS Enforcer - HTTPS Everywhere på steroider! (NU I STORE!)

12 okt 2017, 12:05

Pluginet lever fortfarande vidare och blev uppdaterat idag, nu skrivet i TypeScript.