Firefox 80:设置中的纯HTTPS模式

2020-07-12 01:07:08

早在2020年3月,Mozilla就在Firefox76 Night中添加了可选的纯HTTPS模式。该组织的工程师现在已经将该模式添加到Firefox 80 Nighly的设置中,而且其他Firefox频道版本的用户,例如Firefox稳定版的用户,一旦他们的浏览器版本更新到Firefox 80,就很可能能够配置该模式。

仅HTTPS模式设计用于在站点上强制实施HTTPS。它的工作原理类似于HTTPS Everywhere和其他用于浏览器的HTTPS升级扩展,因为它尝试将不安全的HTTP连接升级为安全的HTTPS连接。

本地纯HTTPS模式和扩展之间的核心区别在于,Mozilla的实现尝试将每个HTTP连接升级到HTTPS。

HTTPS Everywhere对在浏览器中打开的站点上重写连接的升级使用列表。

Firefox的仅HTTPS模式会将升级应用于所有HTTP连接,即使HTTPS选项不可用;这可能会导致加载错误,范围从站点根本不加载到站点上的内容变得不可用。

如果因为不支持HTTPS而无法加载整个站点,Firefox会通知用户。但是,对于可能未加载到站点上的元素,情况并非如此。如果网站未能完全加载,用户可以选择继续加载。

到目前为止,夜间用户必须将首选项dom.security.https_only_mode的值设置为true才能在浏览器中启用该功能。默认值FALSE将禁用浏览器中的HTTP到HTTPS升级强制。

从Firefox80开始,这不再是必需的,但仍然可用。Mozilla在选项中添加了控制浏览器纯HTTPS模式的选项。

在浏览器的地址栏中加载关于:首选项#隐私,然后一直向下滚动到仅HTTPS模式组。

默认情况下,该功能设置为“不启用仅HTTPS模式”(";Don";t Enable HTTPS-Only Mode";)。将其切换为仅在私人窗口中启用HTTPS-Only模式,以仅为私人浏览启用它。

当Mozilla在Firefox76中启动HTTP升级模式时,我得出的结论是,它在某些情况下可能很有用,例如,当在Firefox中使用配置文件和使用其中一个配置文件进行安全活动(如网上银行)时。

启用该模式的不利之处是,它可能会完全破坏某些站点的功能。由于在此页面上没有简单的关闭模式选项,因此在遇到问题时处理起来相当繁琐。?

考虑到Mozilla过去的立场是限制用户接触可能影响网站可访问性的设置,我觉得这一选项被添加到浏览器的首选项中令人费解。

我认为如果Mozilla能在浏览器中集成HTTPS Everywhere会更好,甚至可以选择在任何地方强制执行HTTPS。默认情况下,Tor浏览器中已包含该扩展。

广告