Tại sao bạn nên cài HTTPS Everywhere?

Vào tháng 10 năm ngoái, @bcrypt - một chuyên gia bảo mật đã công bố một kỹ thuật in dấu vết (fingerprinting) mới trên trình duyệt với tên gọi sniffly. Vậy kỹ thuật này là gì và tại sao bạn nên cài HTTPS Everywhere?

Sniffly hoạt động như thế nào?

1. Một người dùng truy cập vào trang Sniffly.
2. Trình duyệt của họ cố gắng tải các hình ảnh từ những tên miền HSTS khác nhau qua HTTP.
3. Sniffly thiết lập một chính sách CSP hạn chế những hình ảnh tới HTTP, vì thế những nguồn ảnh bị chặn trước khi chúng chuyển hướng tới HTTPS. Điều này rất quan trọng, bởi vì nếu trình duyệt hoàn thành một truy vấn tới trang HTTPS thì nó sẽ nhận được đánh dấu HSTS, và cuộc tấn công sẽ không còn hoạt động khi người dùng truy cập Sniffly.
4. Khi một ảnh bị chặn bởi CSP, trình xử lý onerror của nó sẽ được gọi. Trong trường hợp này, trình xử lý onerror thực hiện vài trick không tưởng để đo thời gian ngắn nhất mà hình ảnh chuyển hướng từ HTTP sang HTTPS. Nếu thời gian này vào khoảng một phần nghìn giây thì nó là một chuyển hướng HSTS (không có truy vấn mạng nào được thực hiện), có nghĩa là người dùng đã truy cập tên miền của hình ảnh trước đó. Nếu nó vào khoảng 100 mili-giây thì một truy vấn mạng có thể đã xảy ra, điều đó nghĩa là người dùng chưa từng truy cập tên miền của hình ảnh.

Ở đây là một thử nghiệm ngắn. Nó chỉ hoạt động trên các phiên bản Chrome/Firefox mới nhất khi HTTPS Everywhere đã bị vô hiệu.

Cài đặt HTTPS Everywhere

Bạn có thể cài đặt cho trình duyệt Chrome và Firefox.

Nếu như bạn cần thêm lý do khác thì có thể đọc Note này viết bởi bạn tui - Karmi Phúc.