Начиная с версии 1.50, Brave запускает новую технологию «HTTPS по умолчанию»‎, которая улучшает безопасность в сети благодаря большему использованию HTTPS. Brave принудительно будет переводить сайты в режим HTTPS, прибегая к HTTP, только если сайт не поддерживает HTTPS или в тех редких случаях, когда известно, что сайт работает некорректно по HTTPS. Это наиболее агрессивная на рынке политика принудительного использования HTTPS предоставляет наибольший уровень защиты среди всех популярных браузеров, и будет внедрена сначала на десктопах и Андроиде, а затем на iOS. HTTPS по умолчанию укрепит уже существующие меры защиты работы с сайтами на основе списков, уже применяемых Brave. 

HTTPS — краеугольный камень сетевой безопасности 

HTTPS — неотъемлемая часть конфиденциальной и безопасной сети. Если вы не подгружаете сайты по протоколу HTTPS, ваш провайдер (и другие участники сети) могут видеть, что вы говорите сайтам и что вы слышите от них в ответ. Несмотря на то, что не стоит предполагать, что сайт с HTTPS уважает вашу приватность, можно быть абсолютно уверенным в том, что сайт, который не использует HTTPS, ставит вашу информационную безопасность под угрозу.

Например, если вы заходите на example.site с телефона, запрос с него будет отправлен вашему оператору, а затем на сервер example.site. Сервер ответит запрашиваемой страницей, которая через вашего провайдера отправится вам на телефон. Если сайт подтягивался через HTTP, ваш провайдер будет знать всё, что вы отправили на сервера example.site, и всё, что они сказали вам в ответ. Если же сайт был загружен по протоколу HTTPS, провайдер ничего из этого узнать не сможет. Таким образом, HTTPS является критически важным протоколом, обеспечивающим вашу конфиденциальность в интернете.

Сложности принудительного апгрейда с HTTP до HTTPS

Поскольку протокол HTTPS чрезвычайно важен для конфиденциальности и безопасности, браузеры типа Brave стараются загружать сайты через HTTPS везде, где это возможно. Сейчас многие сайты поддерживают только HTTPS (или используют другие защищённые TLS протоколы, например, веб-сокеты), и это облегчает задачу обеспечения безопасности.

К сожалению, в сети всё ещё есть сайты, до сих пор поддерживающие небезопасный протокол HTTP, а некоторые уникумы поддерживают только его. Наша цель — автоматически «апгрейдить»‎ такие сайты до протокола HTTPS там, где это возможно (т.е. там, где сайт будет нормально функционировать по протоколу HTTPS).

Однако же, реализация этого принципа на практике сопряжена с некоторыми трудностями. Если вебсайт не поддерживает HTTPS в принципе, попытка апгрейда выдаст очевидную ошибку. Другие сайты поддерживают как HTTP, так и HTTPS, но делают это с разных доменов (к примеру, http://example.site и https://secure.example.site), что осложняет апгрейд. Некоторые другие сайты могут быть корректно подгружены через HTTPS, но работать будут с ошибками.

В идеале браузерам никогда бы не пришлось загружать сайты через HTTP, и они всегда могли бы апгрейдить небезопасные запросы до HTTPS. На практике, однако же, не всегда легко понять, как и когда заставить сайт перейти на HTTPS, и будет ли он правильно работать после этого в принципе.

Как работает наша функция «HTTPS по умолчанию»‎ 

Начиная с версии 1.50, браузер Brave будет использовать новую систему апгрейда небезопасных соединений по HTTP до безопасных и конфиденциальных соединений по HTTPS. Эта новая технология «HTTPS по умолчанию»‎ будет работать следующим образом:

  1. Если вы собираетесь перейти на страницу, загружаемую по HTTP, Brave проверит, не находится ли эта страница в списке сайтов, которые ломаются при загрузке по HTTPS. Мы курируем этот список, и каждый может просматривать его и пользоваться им. Если сайт обнаружен в этом списке, то Brave позволит загрузку по HTTP.

  2. Если сайта в списке нет, Brave попытается загрузить сайт по протоколу HTTPS, апгрейднув навигационный запрос с HTTP до HTTPS. Если сервер отвечает на такой запрос ошибкой, Brave считает, что этот сервер не поддерживает HTTPS, и загрузит сайт по HTTP.

  3. В остальных случаях Brave будет загружать сайты по HTTPS, обеспечивая более конфиденциальное и надёжное соединение. 

Наш новый подход «HTTPS по умолчанию»‎ заменяет предыдущий подход, основанный на списках, которым Brave пользовался ещё с наших бета-версий. Мы использовали список от HTTPS Everywhere (отличный и общедоступный ресурс от EFF) для понимания, когда можно обновить HTTP до HTTPS. Это полезный список, но с ним есть две проблемы:

  • Во-первых, он больше не поддерживается, а значит, всё больше устаревает с каждым днём.

  • Во-вторых, любой подход, основывающийся на списке тех сайтов, которые должны быть улучшены, будет ограничен тем, что количество сайтов в сети огромно, и такой список сложно поддерживать. Напротив, подход Brave подразумевает гораздо меньший список сайтов, которые не нужно апгрейдить.

Что более важно, наш подход является более выгодной установкой по умолчанию. В своей стандартной конфигурации HTTPS Everywhere позволяли неизвестным сайтам (которых нет в списке) подгружать данные по HTTP; а наш новый подход подгружает сайты по HTTPS, даже если сайт новый или неизвестный. 

Наш подход развивает и улучшает предыдущие шаги в этом направлении: расширения SmartHTTPS и HTTPZ обеспечивали подобные механизмы защиты для браузеров на основе Firefox и Chrome, а сами они ввели возможность включения режимов «только HTTPS»‎ в 2020 и 2021 годах, соответственно. Firefox внедрил «HTTPS по умолчанию»‎ в приватных окнах в 2021. Мы продолжаем движение в этом направлении, предоставляя функцию апгрейда до HTTPS по умолчанию везде.

Другие методы Brave по защите конфиденциальности

Мы отдельно хотели бы отметить, что наш новый механизм принудительного внедрения HTTPS принципиально отличается от наших обычных методов защиты конфиденциальности пользователей. Большинство наших инструментов защиты работают на уровне веб-приложений: браузер изменяет определённые механизмы действия сайтов для того, чтобы предотвратить вашу повторную идентификацию этими сайтами.

Напротив, «HTTPS по умолчанию»‎ защищает ваши данные улучшением защиты того, как вы обращаетесь к сайту, то есть ещё до того, как сайт подгрузился в браузер. Оба типа механизмов важны и отлично дополняют друг друга, и мы гордимся тем, что браузер Brave является самым защищённым (по обеим категориям) среди всех популярных браузеров.

Если же вы воспользуетесь Приватными окнами с Tor в браузере Brave, ваша защита будет ещё более полной: в таких случаях Brave работает по принципу «только HTTPS»‎ (если страницу нельзя подгрузить по HTTPS, пользователю будет предложен выбор между соединением HTTP и отказом от посещения ресурса). Несмотря на то, что в некоторых случаях это может вызывать некорректное поведение сайтов, мы уверены, что это правильный подход к безопасности при использовании Tor. Вы можете включить режим «только HTTPS»‎ для всех окон Brave (а не только для окон с Tor) на странице brave://settings/shields.

«HTTPS по умолчанию»‎ является лишь одним из механизмов Brave по защите данных на уровнях помимо уровня веб-приложений. Так, наш недавний протокол STAR защищает продуктовую аналитику на уровне протокола (мы называем это P3A), а FrodoPIR предоставляет защиту на уровне протокола запросам, выясняющим, не является ли какой-либо ресурс вредоносным. 

Заключение

Brave постоянно разрабатывает новые механизмы защиты конфиденциальности пользователей и их данных на всех уровнях браузерного стека. Мы уверены, что мощные механизмы защиты данных должны работать по умолчанию для всех, чтобы все пользователи сети, независимо от продвинутости своих знаний, могли пользоваться интернетом безопасно. С этой целью мы запустим механизм «HTTPS по умолчанию»‎ (вместе с рядом других защищающих данные механизмов) в ближайшее время.

Комментарии (5)


  1. rPman
    00.00.0000 00:00
    +2

    сайты на локалхост и в локальной сети по ip адресу тоже переводятся в https по умолчанию? а то такое поведение очень раздражает к примеру в мобильных браузерах (открывается запрос в поисковик)


    1. BraveSoftware Автор
      00.00.0000 00:00

      нет, такого нет. Проверил на десктопе только что


  1. Mirzaev
    00.00.0000 00:00

    Это конечно всё очень интересно, но лично я мечтаю о мире без браузеров - одной операционной системе внутри другой (виновс, линукс). Мечтаю о мире где существуют кнопки скачивания, где есть возможность сохранить информацию для себя, где не продвигают супер-пупер облачные технологии, где нет javascript-кода который выполняет действия без моего согласия и ведома, мире где сговор разработчиков браузеров не ограничивает разработчиков сайтов в возможностях. Я хоть и понимаю, что это делается якобы для благих целей, но считаю что это лишь устранение последствий, а не причин их возникновения, не буду здесь уточнять.

    Меня очень бесит, что каждый сайт - это по сути своей программа, которая скачивается и автоматически устанавливается КАЖДЫЙ РАЗ когда ты её открываешь.... Лучше бы microsoft установили интерпретатор javascript внутрь windows и пытались проталкивать идею, ну не знаю, например автономных сайтов с ярлыками на рабочем столе вместо фавиконов, либо чего-то на это похожего, чем продвигали свой edge, который не способен конкурировать с хромом и фаерфоксом (мой фаворит). Внедрить поиск через поисковые системы в поиск по файлам они уже смогли (правда лично мне неудобно, да и в целом я пользуюсь линукс), так почему бы не пойти дальше? Хотя если углубляться, то я бы и виндовс похоронил, как того заслуживает любое проприетарное чудище...

    Неужели меня одного не бесит, что снизу есть статус-бар со вкладками винды, а сверху точно такой же с такими же вкладками, только уже сайтов? А чего расширения в браузер вообще стоят... Это же по сути своей программы обычные. Они точно так же могли бы работать через API операционной системы вместе с этими сайтами, но браузеры намеренно не поддерживают такую функцию, подчёркиваю - намеренно! Разработчикам выгодно иметь максимальный контроль над пользователем, отнимать его у операционной системы. Браузер забрал себе даже функцию печати на принтер, когда это уже умела делать любая ОС. Браузер использует свои настройки интерфейса игнорируя настройки ОС. Браузер всем своим видом даёт понять, что он и есть твоя ОС в которую ты заходишь через другую ОС. Он даже учётную запись предлагает тебе создать, загрузить туда аватарку и синхронизировать твои настройки, когда то же самое уже давно умеет делать винда - он хочет делать это самостоятельно. Систему уведомлений виндовс, линукс и макос он тоже вертел на всём что только можно - у него она собственная!!!

    Почему-то все переживают из-за того как быстро плодятся игровые клиенты на подобие Steam, Gog и прочих, ждут пока появятся "клиенты клиентов", но почему же никого не смущает то как УЖЕ расплодились браузеры? Изначально браузер использовался как программа для получения информации, но никак не ИГРОВОЙ КЛИЕНТ с так называемыми "браузерными играми" - благо это извращение в упадке на сегодняшнем веку. Пора бы разработчикам напомнить о том для чего предназначается браузер.

    Есть одна достаточная мудрая и антиавторитарная модель разработки программ, называется она "unix-way" или же "философия unix". Поскольку здесь это актуально как никогда прежде, то приведу цитату из википедии:

    Философия Unix гласит:

    1. Пишите программы, которые делают что-то одно и делают это хорошо.
    2. Пишите программы, которые бы работали вместе.
    3. Пишите программы, которые бы поддерживали текстовые потоки, поскольку это универсальный интерфейс.


    1. rPman
      00.00.0000 00:00

      Главная причина — желание контролировать пользовательское окружение, софт, железо и т.п., убрать ее (причину) невозможно, те кто принимают об этом решение и являются теми самыми 'ворами личного'. В этой области если ты побеждаешь дракона то ты сам им становишься, т.е. найдется компания, которая победит google/microsoft и сделает свой барузер и свой android и свой условный windows, то эта компания точно так же станет все контролировать, запрещать, делать все максимально неправильно, просто потому что миром сейчас правит не здравый смысл а деньги и власть.

      Браузер как операционная система появился не на пустом месте, именно разделение linux/windows/mac это и породило. А еще проблему создал сам подход к запуску приложений, во времена становления браузеров, приложения имели абсолютный доступ ко всему, и только браузерная песочница стала той отдушиной, где можно не бояться что владелец сайта сможет у тебя что то украсть (кроме твоего свободного времени).

      Правильным подходом было начало появления android (грамотное разграничение ресурсов, к сожалению недостаточно), но так как компания google создавала и использовала этот продукт для своей монополизации, ими была заложена бомба через google market, правильного механизма доставки и установки приложений сделано не было, а последние годы там и в api добавляется столько всего грустного, что без самого главного жизни нормальной не будет.

      Попытки были у майкрософта но настолько идиотские, что даже рассматривать неохота.

      Хорошо не будет еще долго — десятилетия. Есть надежды, что когда будет создаваться колония на марсе, будут разработаны какие то решения отвязывания инфраструктуры от центра, но шансы мизерные, скорее goole/microsoft/apple/amazon создадут свой датацентр на другой планете с автоматической синхронизацией всего возможного, только бы не отдавать эту власть контролировать пользователей.


  1. ifap
    00.00.0000 00:00
    +1

    Некоторые уникумы еще поддерживают httpS только на домене без www. (тупо забывают покрыть его сертификатом). Что делать с такими - судить не берусь, просто хозяйке на заметку.