EFF、Firefox拡張「HTTPS Everywhere」ベータをリリース 21
ストーリー by hylom
Everywhereは言い過ぎのような…… 部門より
Everywhereは言い過ぎのような…… 部門より
あるAnonymous Coward 曰く、
Electronic Frontier Foundation(電子フロンティア財団、EFF)が「HTTPS Everywhere」なるFirefox拡張のベータ版をリリースしている。HTTPSを使用してWebサイトに接続することでプライバシを守ろう、というのがコンセプトのようだ(本家/.)。
この拡張をインストールすると、Gooogle(google.com)やTwitter、Wikipediaなどにアクセスした際に、自動的にHTTPSでの通信が行われる。ただし、MozillaやNYTimes、WashingtonPostなどHTTPS接続をサポートしている一部サイトのみの対応となる。
あれ? (スコア:2)
WikipediaってHTTPS対応してましたっけ?
>MozillaやNYTimes、WashingtonPostなどHTTPS接続をサポートしている
なんか例が悪いような...
Re:あれ? (スコア:1)
こんな感じに転送されます。
もちろん、日本語のページにちゃんと連れて行ってくれます。
http://ja.wikipedia.org/wiki/TAS [wikipedia.org]
↓
https://secure.wikimedia.org/wikipedia/ja/wiki/TAS [wikimedia.org]
#uncyclopediaに対応していないのが残念。
by rti.
Re: (スコア:0)
どこから連れていってもらえるのか分からなかったので、httpsの方のURLに直接アクセスしてみました。
http/https混載コンテンツなので、URLばーが青くならなかったり鍵アイコンの鍵が閉じていなかったりします。
サーバー負荷 (スコア:2, すばらしい洞察)
範囲が狭い (スコア:1, おもしろおかしい)
Everywhereって言うくらいだからどんなサイトでもhttpsで接続をかけるのか、それとも自動解析でもするのかと思ったら選択式だったorz
範囲がめちゃめちゃせめえ。
Re:範囲が狭い (スコア:1)
本当にその通りですね。
他のいくつかのコメントにも設定上対応できないサイトにもアクセスして
リダイレクトできないとか言ってますし。
#Google Search は Google.com のみ Google.co.jp はだめでした。
DPI対策の自衛 (スコア:1)
DPI(deep packet inspection)対策のぐらいになるかなーと思ってインスコしました。
wikipedia も google も twitter も勝手にSSLになっていい感じです。
2ch と /.とhatena と ニコニコが SSLになってくれれば、生活圏がすべてSSLになってとってもハッピーなんですが、、、
/.の中の人、どうですか? SSL証明書なんて10$/年ぐらいで買える訳ですし、webサーバの遊んでいるCPUパワー(多分)をプライバシー保護のために役立てませんかwww
by rti.
Re: (スコア:0)
ちなみにClass1ならStartSSL [startssl.com]で無償で取得可能です。
Re: (スコア:0)
>SSL証明書なんて10$/年ぐらいで買える訳です
いるんだよなぁ、こういう人。
コンテンツ提供側が携帯対応してることやLBで負荷分散してたりしたら$10なんかで済むわけないし、
そもそも証明書の購入金額じゃなくてLBの設定変更やら動作確認やら継続購入やらの運用のほうが何倍もコストがかかるってば。
CPUが遊んでるって、個人サイトと大規模サイトじゃリソースに関する設計がまったく異なるわけだが。
得てして運用側としてはいつも生半可に知識があるユーザが一番困るのよね。
そんなに気になるなら、岡崎市立図書館の例よろしく、自分でミラーしてhttps化したサイトを公開すればいいのに。
Re: (スコア:0)
本体→ミラー間の暗号化はどうしましょうか(ぇ
# そこまで気にしちゃいけないか
インストールしてみた (スコア:0, すばらしい洞察)
……え、でhttpsで通信しているかどうかのステイタスどこに出るの?
見当たらないんだが、それ(httpかhttpsか明示的にわからない)ってかえってまずくないか?
Re:インストールしてみた (スコア:1)
確かにステータスバーにアイコン化なんか表示してON/OFF制御できるとか無いんですかね。
Re:インストールしてみた (スコア:2, 参考になる)
まあ強制リダイレクトみたいなもんですからねぇ...
ちなみにメニューにあるのは(ちょっとだけ分類)
** ソーシャル系
Facebook
Identi.ca
Twitter
** プロジェクトページ
EFF
Mozilla
Torproject
** ニュース他の情報ソース系
NYTimes
WashingtonPost
Wikipedia
** 他サービス
Paypal
GoogleSearch
GoogleService
** なぜか2個
GentooBugzilla
Noisebridge
GentooBugzilla(2コ?)
Noisebridge(2コ?)
** 不明
DuckDuckGo
Ixquick
Scroogle
でした
たぶん、無条件というかSSL/TLSが透過的に使えるサービスに絞ってるんでしょうね(wikipediaはsecure.wikimedia.org/以下に移動しますけど)
日本だとmixiとか無条件にhttpsになってほしいところはありますよねぇ...
# ブックマーク時点でhttpsにするようにしてる
M-FalconSky (暑いか寒い)
Re: (スコア:0)
mixiって、httpsでアクセスしに行ってもhttpにリダイレクトされちゃうんですけど、どうやったらhttps固定にできますか?
Re:インストールしてみた (スコア:1)
いや、「(確かできなかったけど)できたらいいなぁ」なので、できる方法はないと思ってます
# サポートしてほしいなということ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
インストールしてみたならホワイトリストに含まれるサイトではhttpsに強制リダイレクトされるのを見てるはずだが?
URLがhttpのまま裏でこっそりhttpsで通信してるわけではないのにどうしてhttpかhttpsか明示的にわからないの? すば洞付けたモデレータは自分でインストールしてないの?
Firefoxはサイト認証ボタン [mozilla.com]でhttpsのサイトを十分わかりやすくhttps通信を識別してくれるし。独自のオレオレUIを追加した方がより安全っぽいとでも思ってるの? ベリサインのセキュアシール脳には付き合ってられんね。
そういえば (スコア:0)
sslの2010年問題ってどうなったんでしたっけ?
対象サイトは新しい証明書(2048bit)になってるのかな?
Re:そういえば (スコア:1)
>sslの2010年問題ってどうなったんでしたっけ?
先日ざっくりと調べたところでは、
VeriSign,CyberTrust,GlobalSign,GeoTrust,GoDuddy各社ともに2010年中に
2048bit未満の鍵ペアによる証明書発行申請を受け付けなくなるようです。
GeoTrustはこの機会に発行元ルート証明機関を各種のトラブルで悪名高きEquifaxからGeoTrustの名前の物に取り替えるようですな。
「各社名 2048」とかでぐぐるとだいたい各社のFAQページがヒットします。
Re:そういえば (スコア:2)
RSA の鍵長の 2048bit だけが 2010年問題ではありません。 証明書の署名アルゴリズムはようやく MD5 から SHA-1 への移行が始まったばかりで、SHA-2 への移行は具体的な目途が立っていないようです。 暗号2010年問題に向け「いつまでに何をすべきか」 - ベリサインが説明 [mycom.co.jp]
oが多くないですか? (スコア:0)
>Gooogle(google.com)やTwitter、Wikipediaなど
一瞬いつの詐欺サイトだよと思った
最大の弱点は、人間ですかね? (スコア:0)
やはり、人間が犯すミス(ヒューマンエラー)が一番あぶない。
#わざとですね!わかります。