実際のHTTPS?どのように?

実際のHTTPS?どのように?

/ Google Chromeの使用/

私が訪問した場合:

https://secure.wikimedia.org/wikipedia/en/wiki/File:Nokota_Horses_cropped.jpg

だから:

http://upload.wikimedia.org/wikipedia/commons/d/de/Nokota_Horses_cropped.jpg

HTTP専用サーバーにあります。

もしそうなら、ブラウザのアドレスバーに「HTTPS」が表示されたら、これがウェブサイトのコンテンツ全体が実際に暗号化されたことを意味するのかどうかを100%確信できますか?

私の例では、Wikipediaの画像が暗号化されていないため、スニファーは私が馬に関するWikipediaサイトを訪問していることを知っています。

一般的なHTTP要素が「HTTPSサイト」にロードされないように、プロキシ(privoxyなど)をインストールする必要がありますか?

ありがとうございます..

答え1

ほとんどのブラウザはHTTPSページにHTTPコンテンツがあると警告します。 HTTPSページにHTTPコンテンツが混在しているサイトにアクセスしている場合、これは非常に面倒です。あなたの質問によると、ウィキペディアもその一つです。正しく設定すると、Firefoxはこのページにアクセスすると警告メッセージを表示します。

WebサーバーはHTTPSを提供する必要はありません。多くのWebサイトではHTTPSを提供していないため、他のWebサイトではセキュリティパスが必要と思われるログイン画面やその他のコンテンツを保護するためにのみHTTPSを使用できます。 HTTPSを使用しても、閲覧しているサーバーを引き続き確認できます。ほとんどの場合、サーバーは1つのサイトのみをホストしているため、そのサイトも知られています。

最近まで、HTTPSに必要な証明書はかなり高価でした。必要な信頼レベルに応じて、コストは依然として高いです。高レベルの信頼とセキュリティを必要とする銀行や他の組織は、証明書のプレミアムを支払います。

ローカル監視からトラフィックを非表示にするには、プロキシのセキュリティパスを使用できます。これはあなたのトラフィックを監視している誰かに危険信号を送ることができます。

プライベートプロキシを使用している場合は、プロキシサブの誰でも非表示にする情報の大部分を確認できます。

答え2

HTTP Strict Transport Security(STSまたはHSTSとも呼ばれます)に興味がある可能性があります。これは、Webサイトが常に安全であることをWebブラウザに示すためにWebサーバーが送信できる自発的なヘッダーです。 Chromeはこれを実装するブラウザの1つです。 http://www.imperialviolet.org/2011/02/17/hstsui.html Chromeでは、HSTSサイトのプライマリデータベースにWikipediaを追加して、どこでもHTTPSを実行できると思いますが、わかりません。これに加えて、特定のWebサイトにアクセスするすべてのWebブラウザおよびその他のHTTPクライアントにHTTPSを適用するには、一種のプロキシが必要です。非常にTorとOnionルーティングを使用してWikipediaを訪問しているという事実も隠すことができます。

答え3

これに関連するFirefoxプラグインがあります。https://www.eff.org/deeplinks/2010/06/encrypt-web-https-everywhere-firefox-extension

彼らが指摘したように、

いつものように、HTTPSページにあっても、Firefoxが右下にカラーアドレスバーと完全なロックアイコンを表示しない限り、ページは完全に暗号化されておらず、まださまざまな種類の攻撃に対して脆弱である可能性があることに注意してください。盗聴またはハッキング(ほとんどの場合、ウェブサイトに安全でない第三者コンテンツが含まれているため、HTTPS Everywhereはこれを防ぐことはできません)。

関連情報