Rubriky: Firefox

S Firefoxem 17 přistupujete ke konkrétním webům bezpečněji

Ne vždy se konkrétní novinka ve webovém prohlížeči dočká takové publicity, jakou by si zasloužila. Jedna taková se objevila ve Firefoxu 17, který před nedávnem vyšel, a moc se o ní nepsalo. Jedná se o distribuovaný seznam domén s podporou HSTS. HSTS je zkratka slov HTTP Strict Transport Security a jedná se o HTTP hlavičku, kterou může server prohlížeči vrátit a vynutit si tak mezi webovým prohlížečem a serverem bezpečnou komunikaci. Kdyby se náhodou někde objevil odkaz vedoucí na nezabezpečenou URL (http) dané domény a uživatel na něj klepnul, webový prohlížeč pošle dotaz na server zabezpečeně (https).

Tato šikovná věc je ve Firefoxu od verze 4 a řada serverů uvedenou hlavičku využívá. Zmínit můžeme například PayPal. Drobnou nedokonalostí (pochopitelnou) je, že první dotaz může jít nezabezpečeně, čímž vzniká šance, že někdo první dotaz odchytí a bude si hrát na protistranu (server). Počínaje Firefoxem 17 je s prohlížečem distribuován seznam domén, u kterých je známo, že HSTS podporují. Pokud je doména v seznamu, tak z prohlížeče nikdy neodejde dotaz na server v nezabezpečené podobě.

2 komentářů k článku “S Firefoxem 17 přistupujete ke konkrétním webům bezpečněji”

  1. Aleš Ulrych napsal(a)

    Ahoj,
    rozumím tomu dobře, že od verze 17 už nemusím používat doplněk HTPS-Everywhere?

  2. Pavel Cvrček napsal(a)

    Doplněk HTTPS Everywhere jsem nikdy nepoužíval, takže nedokážu posoudit. Jde o to, zda konkrétní server uvedenou hlavičku posílá či ne. Pokud ano, pak je tento doplněk pro daný server již zbytečný. Pokud ne a funguje na HTTPS, kterou tento doplněk vynucuje, pak zbytečný není. Další věcí je, zda je konkrétní server na seznamu (to v souvislosti s tím prvním requestem).