Firefox新插件能让HTTPS链接更易实现

尽管对于代表和决策者来说,在各种情况下安全都很少有可能成为主要原因,但在进行关于预期效益的讨论时,就会涉及到。在极少数情况下,公司决定迁移远离微软Windows后,会发现关于整个项目迁移的考虑并不完善,最终不得不决定放弃部分或者整个项目。如果你可以找到由于安全问题(真的,而不是意外费用或者就微软提供的批量许可证进行内部讨价还价)导致放弃转换的案例的话,是会得到奖励的。

实际上,问题的关键在于微软Windows在安全方面带来的所有优势(不论实际上它是否有多少好处)。大多数针对微软Windows与其他操作系统的安全比较都是基于一种或者其它含糊情况下的。最流行的论点似乎是下面的两种,每种都有自己的问题。

1、微软Windows比Linux系统更安全,这是因为Linux是开源的,任何人都可以更改源代码。

这种论调完全误解了开放源代码软件的开发过程,我们为支持这种观点的人的无知感到沮丧。实际上,开放源代码软件的开发过程与封闭源代码软件的开发过程采用的几乎是完全相同的方式,核心由专门团队进行控制,开发者以这种或那种方式,获得直接进入代码库的权限。

对于微软的情况而言,涉及到的是一次通过面试过程后的聘用;而对于Linux内核来说,涉及到的是核心团队是否相信补丁提供者的技术和意图,这可能需要长时间的检验。在此之前,任何提交给核心团队的补丁在纳入主要代码库之前都需要对质量和可靠性进行审核。

关于这一论点的争执经常在于,由于源代码可以被任何人看见,因此,即使他们不能简单地修改自己的主要项目,恶意安全攻击者也可以更容易地找到代码中的漏洞并予以利用。但是,真相并没有这么简单。在大多数情况下,通过反向工程比阅读开放源代码软件的可用源代码更容易找到漏洞。只有最明显的架构级别错误才容易被找到。此外,源代码的开放会导致潜在脆弱性增加这一论点会被另一事实所抵消,这就是更多好人也可以看到源代码,并且会对软件进行改进,他们不仅会发布已经找到漏洞的补丁工具,而且还会对代码进行重新处理,以消除不必要的复杂性和可能隐藏安全漏洞的部分。

2、微软Windows看上去似乎更不安全,是因为使用它的人更多。

可能有一个内核符合这一论点。实际上,这一论点非常接近苹果MacOS X系统的真实情况,这要归功于苹果的开发和补丁管理策略(非常失败)。即便如此,其他操作系统更安全依然是选择使用它们的很好理由,如果你真正重视安全的话,额外的安全保障并不需要具体的原因。

并且,这里还有其它理由让你相信,基于Linux的系统和如FreeBSD之类的其他开源类Unix操作系统,是安全的。这些原因包括,基于系统级别的权限分离模式,以及微软在处理安全补丁开发和部署方面的短视。

在很多受到关注的讨论中,安全是为什么选择抛弃微软Windows的一条充分理由,但很多人干脆拒绝承认通过使用其它替代产品会在安全方面带来重大改善。有些人认为,在全球范围内,(几乎)所有人都在使用这一证据表明,他们不是唯一信任Windows操作系统的大公司。

对于很多美国人来说,这是很容易的,举例来说,忽略欧洲各国政府正在努力摆脱微软产品的影响,将财富一百强的企业巨头而不是相对较小的公司(尽管它们在自己的领域内也很有影响力,如厄尼球)作为专业信息技术基础设施的管理范例。

google将是不会那么容易被忽视。

电子前沿基金会和洋葱路由器(Tor)项目合作提供一个称为HTTPS Everywhere的火狐浏览器新扩展插件。在来自电子前沿基金会的新闻稿中,它是这么说的:

该火狐浏览器扩展插件的灵感来源于谷歌推出的加密搜索功能。我们希望可以找到一条途径,将浏览器发送的所有搜索信息进行进行加密。而与此同时,我们还可以对浏览器与其它网站进行的大部分交流服务进行加密:

· 谷歌搜索

· 维基百科

· Twitter和Identi.ca

· Facebook

· 电子前沿基金会和洋葱路由器

· 元搜索引擎Ixquick、DuckDuckGo、Scroogle和其他小搜索引擎

· 以及其它更多

尽管实际上并没有提供无处不在的加密链接,毕竟这需要全球所有网站都使用SSL/TLS,或者奇迹的发生,但它确实可以减轻利用加密链接登陆到网站上时遇到的问题。举例来说,所有人都了解保护用户名和密码的重要性,但了解这一点的人,并不一定会选择使用维基百科提供的标准加密模式登陆,而是选择未加密的HTTP登录模式。并且,当你点击一家主要搜索引擎(举例来说谷歌)搜索结果中提供的链接时,很可能会被重定向到未加密版本的网页上。

如果你具有较高的安全意识,在访问维基百科的时间,希望选择加密版本的链接以保证个人隐私安全的话,就会发现出现了很多烦恼的问题。由于维基百科目前没有为每一个页面都提供加密版本的链接,这就意味着你需要将URL协议标识符中的http://改写为HTTPS://后才能进行分享。

但是在火狐浏览器HTTPS Everywhere扩展插件的帮助下,你可以将网站链接自动重定向到加密版本的页面上,这里面包括谷歌搜索、Facebook和维基百科(以及EFF和Tor项目网站)。

在EFF的宣传页面上,你可以看到一个关于HTTPS Everywhere的链接,并且里面还包含了该扩展插件功能和局限性的简要说明。宣传页面和推广页面上的蓝色大按钮图标可以用来进行即时安装。

由于该扩展插件目前正处于公众测试阶段,因此,我在下面对其需求进行了说明:

网络上的很多站点都为通过HTTPS的加密传输提供了一定程度的支持,但使用起来非常不方便。举例来说,它们默认支持的可能是未加密的HTTP,或者是将加密页面的连接返回到未加密的网站上。

该扩展插件可以通过对来自网站的HTTPS响应进行修复来解决这些问题。

这里有一个页面,介绍了怎么编写属于自己的规则,这样的话,你就可以在自己的系统中利用该扩展插件为更多的网站提供支持。在经过充分的测试后,可以肯定不会与规则集产生任何问题后,你还可以把它提交给EFF,作为官方标准规则推广。

Tor网络日志上发布了《火狐浏览器扩展插件HTTPS Everywhere可以帮助你加密网络流量》一文,对其工作原理进行了简单的说明。简而言之,它是:

它的效果比NoScript更好,因为网络上的很多站点都为通过HTTPS的加密传输提供了一定程度的支持,但使用起来非常不方便。举例来说,它们可能没有为所有网页和应用程序提供通过HTTPS的连接,或者可能只容许需要网址重写和重定向的操作通过 HTTPS。特别是,象谷歌SSL搜索和维基百科,都需要相当复杂的网址重写和异常过滤处理才能正常工作。

与GreaseMoney为基础的SSL证书专业解决方案以及谷歌Chrome浏览器为基础的KB执行者之类以文档对象模型为基础的机制相比,它的安全效果更好。这些插件在文档对象模型级别执行,这会导致很多HTTP链接在重定向到HTTPS时泄露出来。

我们希望,该扩展插件在未来将被移植到Chromium浏览器上,并最终将被移植到其他浏览器上。另一方面,人们不禁怀疑,是否甚至微软IE浏览器的用户(例如)也应该会使用这样的扩展。