Как проверить что сайт поддерживает https, не заходя на сайт?

Суть вопроса в следующем – при использованнии браузера Tor часто возникает необходимость ходить только по https-сайтам, чтобы человек на выходном узле Tor не мог наблюдать что именно на посещенном сайте смотрел пользователь. Понятно, что сам факт посщения этого сайта самого по себе с легкостью определеяется, но смысл – ограничить человека на выходной узле Tor к наблюдению с чем именно работал пользователь на том или ином сайте.

Но если целевые сайты заранее неизвестны и представляют собой ссылки на любых других ресурсах (ссылка из социальной сети, другого сайта, из результатов поисковой системы и т.д.), то зачастую нельзя как-то очевидно узнать, поддерживает ли некий сайт https или нет, если это не видно в самой ссылке. Например, известный сайт www.linux.org.ru поддерживает https-соединение и при переходе на него, расширение HTTPS Everywhere в Tor-а автоматически включает режим просмотра этого сайта через https, хотя вообще www.linux.org.ru может работать и без https. И как пример случая, когда нельзя определить есть ли у этого сайта поддержка https или нет (если бы это не было известно заранее) приведу пример поисковой выдачи из Google по запросу "Ubuntu переходит на systemd" (такая статья есть на linux.org.ru) И как видно на скрине:
http://itmages.ru/image/view/1507217/35a8fce0

в адресе ссылки на статью из Google невозможно определить, есть ли поддержка https на этой конкретной странице (а стало быть и на всем сайте), т.к. в тексте ссылки нет ключевой строки "https:", хотя на самом деле поддержка https есть, если перейти по ссылке с включенным расширением HTTPS Everywhere:

Скрин: http://itmages.ru/image/view/1507222/797a774c
Сама прямая ссылка на эту страницу с https: https://www.linux.org.ru/news/ubuntu/10180718

И собственно вопрос, как можно заранее узнать, поддерживает ли некий сайт https соединение, если это нельзя явно определить по самой ссылке где-то на другом ресурсе? Есть ли сервисы (тоже конечно желательно с поддержкой https), чтобы проверить тот или иной сайт на наличие поддержки https?

На страницу: 1, 2 След.

Комментарии

—	Jack34 (19/02/2014 12:11, исправлен 19/02/2014 12:13) профиль/связь <#> комментариев: 8 документов: 3 редакций: 17

Частично отвечаю самому себе..

Пока дописал топик, пришла простая мысль:

Проверить поддержку того или иного сайта (или какой-то части из общей массы сайтов) на наличие поддержки https, в том числе проверка поддержки https какой-то конкретной ссылки (ссылки на конретную страницу можно просто сделав запрос в поиске того же Google в виде нужной ссылки, добавив к ней приставку "https://" перед обычным www адресом.

Как примеры:
1) Сам linux.org.ru
Скрин: http://itmages.ru/image/view/1507335/60d896c0
и
2) Статья, о которой я упоянул в топике:
Скрин: http://itmages.ru/image/view/1507337/0bec65ae

Как видно из скринов, если тот же Google уже проиндексировал целевой сайт или статью, то можно легко определить наличиие поддержки https нужной ссылки. Минус этого способа конечно же в том, что индексирование любым поисковиком новых статей или сайтов занимает некоторое время и видимо какой-то процент ссылок так не получится проверить быстро (а может и часть ссылок просто не попадут – или исключены из поисковой выдачи?).

Поэтому вопрос специализированного сервиса для проверки поддержки https все-таки актуален.

—	unknown (19/02/2014 12:27) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

К примеру, на ютьюб можно заходить по HTTPS. Названия страниц, которые вы там смотрите, исходящему узлу не видны. Но все ролики с этих же страниц идут в открытом HTTP без S. И HTTPS-everywhere здесь принципиально не помогает. Так что поток с youtube можно распарсить. Это касается также многих сайтов со смешанным контентом: изображения и отдельные элементы страницы могут отдаваться в открытом виде.

—	Jack34 (19/02/2014 12:45, исправлен 19/02/2014 12:48) профиль/связь <#> комментариев: 8 документов: 3 редакций: 17

О Ютубе буду знать..

"Это касается также многих сайтов со смешанным контентом: изображения и отдельные элементы страницы могут отдаваться в открытом виде." имеете ввиду отдельные элементы, которые лежат не на сервере самого сайта (например если сайт хостит изображния на сторонних сайтах (storage)?
Или имеете ввиду что даже элементы лежащие на сервере сайта с https могут отдаваться частично открыто?

Как вариант конечно есть еще – https://ru.wikipedia.org/wiki/Ixquick с его "Startpage также включает бесплатный анонимный веб-прокси, который может открывать веб-сайты, используя их https-прокси ixquick-proxy ("Startpage также включает бесплатный анонимный веб-прокси, который может открывать веб-сайты, используя их прокси сервис"), но этот прокси всегда режет весь Javascript, который все-таки нужен иногда..

Указанная в топике статья через этот прокси – Ссылка

—	*Гость* (19/02/2014 12:58) <#>

Было расширение к firefox, которое стучалось на каждый заходящий сайт, проверяя доступность там HTTPS на 443-ем порту. Профилирование во все щели, да. Названгие расширения забыл, но тут оно обсуждалось, уже критиковали.

>Но все ролики с этих же страниц идут в открытом HTTP без S. И HTTPS-everywhere здесь принципиально не помогает.

Если сайт не поддерживает HTTPS, он иногда не отвечает по 443-ему, а иногда редиректит автоматически на 80-ый (HTTP). И это поведение может ещё и зависеть от конкретных страниц сайта. Автоматические редиректы можно отключить в настройках браузера, но часто они удобны и нужны, т.е. будет некоторое неудобство.

Единственное, что можно посоветовать (хотя я считаю такую цель бредовой) — поставить дополнительный файерволл между браузером и той ОС, что будет его заворачивать в интернет/Tor/ещё куда-то, и зарезать там 80-ый порт. Ну, или даже завести два профиля браузера: один для работы только по HTTPS, а другой незалоченный.

>Или имеете ввиду что даже элементы лежащие на сервере сайта с https могут отдаваться частично открыто?

Да. Правда, это приведёт к битости замка в строке адреса. Но если отдача идёт через плагины (как на youtube из-за flash), то даже замок не побьётся.

—	sentaus (19/02/2014 13:30) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Или имеете ввиду что даже элементы лежащие на сервере сайта с https могут отдаваться частично открыто?

Почему нет? Достаточно ссылки абсолютные использовать.
А на практике довольно часто статические данные отдают с отдельного сервера на поддомене, чтобы уменьшить нагрузку на основной. И https там запросто может отсутствовать.

Правда, это приведёт к битости замка в строке адреса. Но если отдача идёт через плагины (как на youtube из-за flash), то даже замок не побьётся.

Да.

—	Jack34 (19/02/2014 14:10, исправлен 19/02/2014 15:13) профиль/связь <#> комментариев: 8 документов: 3 редакций: 17

Решил поискать по поиску расширений Firefox по запросу "https"
и 7-ым результатом нашел HTTP Nowhere. Суть расширения:

"...разработчики расширения HTTP Nowhere пошли еще дальше, чем HTTPS Everywhere. Они предлагают не только активировать HTTPS где только можно, но еще и полностью блокировать незащищенный HTTP-трафик, который часто генерируется даже на защищенных сайтах..."

Вот статья об этом расширении – HTTP Nowhere — полная блокировка незащищенного трафика в Firefox, к минусам можно отнести (из этой статьи):
"HTTP Nowhere не совсем совместим с HTTPS Everywhere. Если включить два расширения одновременно, то они будут работать, но блокируются редиректы HTTPS Everywhere." (о чем сказано и на странице расширения).
Доп инфо по лицензии:

Version 2.1.0 Info
September 16, 2013
Released under GNU General Public License, version 3.0

Глянул в поиске по форуму, нашел только одно упоминание – https://www.pgpru.com/comment72015

Я так думаю, можно ведь просто выключать тогда тот же HTTPS Everywhere, вместо него использовать HTTP Nowhere как полноценную и более функциональную замену, когда надо попользоваться конкретным https-сайтом? Хотя наверное HTTP Nowhere может создать дополнительное профилирование ввиду немассовости как у HTTPS Everywhere, который сейчас ставиться в Tor "прямо из коробки"?

Как побочный результат конечно профилирование по использованию HTTP Nowhere, который можно засечь так:
если выходной узел знает, что на неком сайте с https по-любому есть элементы, передающиеся открыто, "но вот у этого конкретного пользователя почему-то они не передаются, а стало быть блокируются", но зато выигрышь получается в том, чтобы выходной узел не мог определить по открыто переданой картинке X (или другому элементу) что пользователь посетил страницу Y целевого сайта, где эта картинка представлена например в качестве иллюстрации к тексту (статье).

—	*Гость* (19/02/2014 15:25) <#>

Для избежания профилирования использовать свои плагины/расширения с TBB не рекомендуется. За HTTPS Everywhere стоит EFF и PGP-подпись, это достаточно доверяемое расширение, в отличие от HTTP Nowhere. И оно встроено в TBB. На этом стоит успокоиться. IMHO. Лучше создайте список сайтов, которые вам важны, и не забывайте руками дописывать для них в строке адреса https://

—	*Гость* (19/02/2014 15:29) <#>

>Да.

Если отдача части контента идёт через посторонние домены безо всяких плагинов, то замок тоже биться не будет? Или всё же будет? На pgpru в своё время бился.

—	unknown (19/02/2014 15:36) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Сильный противник может профилировать и шифрованный трафик. С картинками это сравнительно просто: узел знает какой сайт посещён, выкачивает с него все миллиарды картинок и для каждой строит статистический профиль. Правда, при такой модели угрозы, Tor вообще бесполезен.

—	SATtva (19/02/2014 15:39) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Если отдача части контента идёт через посторонние домены безо всяких плагинов, то замок тоже биться не будет?

Да. Наличие любого HTTP-контента на HTTPS-странице трактуется как смешанный контент. Плагины являются исключением, поскольку работают в собственных контекстах/процессах, куда браузер не имеет доступ.

—	*Гость* (20/02/2014 13:18) <#>

>>Если отдача части контента идёт через посторонние домены безо всяких плагинов, то замок тоже биться не будет?

>Да.

Судя по вашему пояснению, вы хотели сказать не «Да», а «Нет, будет биться, потому что

наличие любого HTTP-контента на HTTPS-странице трактуется как смешанный контент. Плагины являются исключением, поскольку работают в собственных контекстах/процессах, куда браузер не имеет доступ.».

—	SATtva (20/02/2014 13:26) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Верно, прочитал "тоже биться будет?". Как верно отмечают психологи, частица "не" плохо воспринимается.

—	*Гость* (20/02/2014 14:18) <#>

> Но все ролики с этих же страниц идут в открытом HTTP без S. И HTTPS-everywhere здесь принципиально не помогает.

Оригинальный пост на тему.

>> Было расширение к firefox, которое стучалось на каждый заходящий сайт, проверяя доступность там HTTPS на 443-ем порту. Профилирование во все щели, да. Названгие расширения забыл, но тут оно обсуждалось, уже критиковали.

> и 7-ым результатом нашел HTTP Nowhere.

Нет, не оно. Нагуглил всё-таки: это HTTPS Finder. Его критика здесь. Ещё есть какой-то Force TLS, который на pgpru ещё не обсуждался, поэтому ничего сказать не могу кроме всё тех же общих замечаний про профилирование.

> зато выигрыш получается в том, чтобы выходной узел не мог определить по открыто переданой картинке X (или другому элементу) что пользователь посетил страницу Y целевого сайта, где эта картинка представлена например в качестве иллюстрации к тексту (статье).

В общем, да. Если что-то делается разово, это ещё не так страшно, но если вдруг вы начинаете это делать регулярно, оно становится шаблоном, и тут профилирование — медленная, но надёжная и гарантированная смерть для анонимности.

> А на практике довольно часто статические данные отдают с отдельного сервера на поддомене, чтобы уменьшить нагрузку на основной. И https там запросто может отсутствовать.

Описание последствий для тех, кто ещё не в курсе:

Пользователю шлётся предупреждение, что страница имеет частично незашифрованный контент и замок помечается, как битый. На практике это означает, что противник может как угодно менять пропорцию между шифрованным и нешифрованным трафиком, фактически делая из HTTPS разновидность dog sign security. На самом pgpru.com такая проблема тоже долго была, и для её решения приходилось убирать рекламные ссылки резчиками рекламы или фильтрующими HTTP-прокси.

битый замок из-за того, что часть элементов на странице незашифрована, а потому противник может произвольно менять процент шифрованных и нешифрованных элементов на странице – тоже обсуждалось

Новость на эту тему: «Техника успешного внедрения в SSL соединение».

> Как верно отмечают психологи, частица "не" плохо воспринимается.

Это известная проблема, когда, противоположные по смыслу (казалось бы) ответы имеют одинаковый смысл, поэтому требуется пояснение (что именно «да» или «нет»):
— Вы ещё не выкопали картошку?
— Да
Сравните с:
— Вы ещё не выкопали картошку?
— Нет
Когда-то здесь указание на эту тонкость уже приводилась в оффтопах.

—	*Гость* (07/03/2014 14:45) <#>

"К примеру, на ютьюб можно заходить по HTTPS. Названия страниц, которые вы там смотрите, исходящему узлу не видны. Но все ролики с этих же страниц идут в открытом HTTP без S."

О как... Это точно? Просто я когда смотрю ролики там через Firefox с HTTPS Everywhere, у меня показывается в адресной строке замочек, то биш полностью шифрованое соединение. А что насчёт видеороликов и музыки ВК, если ВК по https работает?

—	SATtva (07/03/2014 14:56) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

> О как... Это точно?

тред не читай @ вопросы задавай

А что насчёт видеороликов и музыки ВК, если ВК по https работает?

Без понятия. Возьмите Wireshark и проверьте, что за трафик там ходит.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]