"HTTPS Everywhere" est-il toujours pertinent?
HTTPS Everywhere est une extension de navigateur, une collaboration entre le projet Tor et l'Electronic Frontier Foundation, qui automatise la réécriture des demandes d'URL HTTP vers l'alternative sécurisée HTTPS si disponible. Il existe apparemment depuis environ une décennie, mais n'a jamais été sur mon radar jusqu'à ce que quelqu'un me le demande récemment. Essayer de le rechercher a produit un sac mélangé d'informations.
Quel que soit le besoin, on ne sait pas comment utile, il est "prêt à l'emploi". Divers articles font référence à la nécessité de compléter les valeurs par défaut par des listes blanches et des règles pour obtenir tous les avantages. Sa mise en œuvre ne semble donc pas être une tâche triviale.
-
Au moins à un moment donné, une partie importante des sites Web étaient uniquement HTTP, de sorte que l'utilisation de tels logiciels ne pouvait apporter qu'un bénéfice limité. Il semble que les sites traitant de données personnelles sensibles soient à peu près passés à HTTPS uniquement. Google a mis en œuvre diverses mesures pour inciter sites Web à convertir en HTTPS. Il n'est pas clair à quel point le problème HTTP est toujours important (ou s'il l'est toujours, si le problème disparaît rapidement).
Il n'est pas clair non plus si les sites convertissant en HTTPS conservent les liens HTTP uniquement pour les visiteurs hérités et redirigent automatiquement vers leur site HTTPS.
Les principaux navigateurs semblent tous avoir soit intégré une logique pour préférer les sites HTTPS lorsqu'ils sont disponibles, soit sont bien en train de les implémenter. À moins Google (n'a rien vu sur les autres moteurs de recherche), a un programme du même nom (pas clair s'il s'agit en fait du même produit), pour tenter automatiquement une connexion HTTPS lors des recherches.
Il y a environ trois ans, il y avait des articles sur "pourquoi vous devez installer HTTPS partout". Un certain nombre d'articles plus récents ont suggéré que les gens devraient cesser de suggérer que les gens installent ce logiciel. L'essentiel semble se rapporter aux navigateurs dupliquant déjà le fonctionnalité.
Il n'est donc pas clair si HTTP est toujours un problème de fond nécessitant une solution, et si oui, si un logiciel qui essaie d'abord les liens HTTPS peut résoudre ce qui en reste. Toute cette question a-t-elle été dépassée par les événements?
Je cherche le contexte plutôt que l'opinion (c'est-à-dire les faits décrivant la situation actuelle plutôt que l'opinion sur son bien ou son mal, ou si j'ai besoin du logiciel). Par exemple, les principaux navigateurs fournissent-ils maintenant le remède pour lequel HTTPS Everywhere a été développé? HTTP est-il désormais pratiquement limité aux sites où il n'y a pas de données personnelles ? Y a-t-il une réglementation gouvernementale ou industrielle qui vise à rendre cela non problématique? En d'autres termes, les types d'informations objectives qui me permettront (et aux autres) de comprendre la situation actuelle afin de me forger ma propre opinion et de déterminer la pertinence pour moi-même.