Viikon VALO #125

HTTPS Everywhere

HTTPS Everywhere on selaimen lisäosa, joka suojelee Webissä salakuuntelijoilta. Nimensä mukaisesti lisäosa yhdistää verkkosivuun suojatulla HTTPS-yhteydellä, jos sivuston ylläpitäjä sen sallii.

 HTTPS Everywhere on Electronic Frontier Foundationin ohjelma, jolla pyritään parantamaan ihmisten yksityisyyttä ja turvallisuutta verkossa. Lisäosalla pyritään vähentämään tilanteita, joissa käyttäjän arkaluontoista tietoa joutuu ulkopuolisille tai käyttäjää johdetaan harhaan. Tällaisia tilanteita ovat esimerkiksi salasanan paljastuminen salakuuntelijalle tai epärehellisen välittäjän hyökkäykset (engl. man-in-the-middle attack). Lisäosa on tarkoitettu erityisesti niille henkilöille, jotka joutuvat käyttämään suojaamatonta langatonta tai muuten epäluotettavaa verkkoa.

Käytännössä HTTPS Everywherella on kaksi tehtävää: Ensimmäisenä tehtävänä verkkosivuun yhdistetään suojatulla yhteydellä, jos sivuston ylläpitäjä sen sallii. Käyttäjälle tämä näkyy osoiterivin lukon kuvasta ja osoitteen https-alkuosasta, jotka kuvastavat SSL- ja TLS-suojausta (Secure Sockets Layer ja Transport Layer Security). Toisena tehtävänä verkkosivun varmennetta verrataan HTTPS Everywheren tietokantaan, jotta väärennökset tunnistettaisiin. Jos varmenteessa huomataan jotakin poikkeavaa, käyttäjää varoitetaan mahdollisesta uhkasta. Tämä SSL Observatoryksi nimetty toiminto on käytössä vain HTTPS-Everywheren Firefox-lisäosassa.

HTTPS Everywheren yksi lisätoiminnoista on evästeiden muuttaminen turvallisiksi. Webin selaajan ongelmana on, että useat verkkosivun ylläpitäjät eivät suojaa evästeitään. Tällöin suojatun yhteyden kautta saatu eväste voi paljastua ulkopuoliselle, jos jokin sivuston osa ei ole täysin suojattu. Käyttäjän eväste paljastaa suojaamattoman yhteyden kautta sivustolle sisältönsä, jolloin verkoliikennettä salakuunteleva ulkopuolinen voi pahimmillaan napata tiedot ja kirjautua käyttäjänä sisään. HTTPS Everywhere osaa muokata evästeitä siten, että evästeet eivät jaa sisältöään muuta kuin suojatuilla yhteyksillä.

Käyttäjän on mahdollista hallita HTTPS Everywhere -lisäosaa osoiterivillä olevasta painikkeesta. Kun painiketta napsauttaa, käyttäjälle näytetään, mitkä sivustot lisäosa suojaa. Sivuston nimeä napsauttamalla käyttäjä voi poistaa salauksen käytöstä. Tämä on hyödyllistä silloin, kun jokin sivu ei toimi lisäosan takia odotetulla tavalla. Halutessaan käyttäjä voi ottaa myös koko lisäosan pois käytöstä.

Lisäosan kattavuudessa on rajoitteensa. Suojattu HTTPS-yhteys muodostetaan vain niihin sivustoihin, jotka on erikseen määritelty lisäosan sääntölistalla. Toisaalta menettelyn etuna on, että monimutkaiset uudelleenohjaukset ovat mahdollisia. Lisäksi voidaan välttää yllättäviä sisällön rikkoutumisia, joita voi syntyä automaattisesti salausta ehdottavilla ratkaisuilla. Listaa täydennetään jatkuvasti uusilla säännöillä, ja tällä hetkellä sääntöjä on muutamia tuhansia. Säännöllisiä lausekkeita ymmärtävän käyttäjän on mahdollista kirjoittaa omia sääntöjään ja lisätä ne lisäosan sääntökansioon.

On muistettava, että HTTPS-suojaus ei piilota verkkoselailijaa täysin muiden katseilta. Ulkopuolisten on edelleen mahdollista seurata, millä verkkosivustolla kävijä käy ja kuinka paljon hän siirtää dataa verkkosivustolta. Tarkkailijalle ei kuitenkaan selviä, mitä tietoa osapuolten välillä liikkuu ja millä verkkosivuston eri sivuilla käydään.

Kotisivu
https://www.eff.org/https-everywhere
Lisenssi
GNU GPL
Toimii seuraavilla alustoilla
Firefox, Chrome
Asennus
Lisäosan voi ladata EFFin kotisivuilta tai Chrome Web Storesta

Teksti ja kuvakaappaukset: Mikko Harhanen