Compare Revisions

Firefox, aby zwiększyć bezpieczeństwo i chronić dane użytkowników uaktualnia połączenia HTTP do HTTPS,. Dowiedz się więcej o uaktualnieniach inicjowanych przez serwer i przeglądarkę oraz o tym, jak one działają.

Podczas przeglądania internetu za pomocą Firefoksa, przeglądarka może automatycznie uaktualnić połączenie z mniej bezpiecznego protokołu HTTP do bezpieczniejszego protokołu HTTPS. Gwarantuje to, że odwiedzane strony internetowe są autentyczne, a wszelkie przesyłane przez użytkownika informacje, takie jak hasła lub dane osobowe są szyfrowane i chronione przed przechwyceniem. Ponieważ obecnie większość witryn internetowych obsługuje protokół HTTPS, to uaktualnienie zazwyczaj przebiega bezproblemowo. Nawet jeśli odnośnik korzysta ze starszego formatu <code>http://</code>, Firefox może nadal próbować połączyć się bezpiecznie przez protokół HTTPS, ponieważ w internecie wciąż istnieje wiele starszego typu odnośników, mimo że same witryny internetowe obsługują już HTTPS. Dzięki temu przeglądanie jest zarówno płynne, jak i bezpieczne. __TOC__ =Jaka jest różnica pomiędzy protokołem HTTP, a HTTPS?= [https://wikipedia.org/wiki/Hypertext_Transfer_Protocol HTTP], to skrót od *Hypertext Transfer Protocol* (protokół przesyłania hipertekstu) i jest podstawowym protokołem internetu, który określa sposób komunikacji między przeglądarkami a serwerami internetowymi. Problem z protokołem HTTP polega na tym, że dane przesyłane z serwera do przeglądarki nie są szyfrowane, co oznacza, że mogą być przeglądane, skradzione lub modyfikowane. Protokół [https://wikipedia.org/wiki/HTTPS HTTPS] rozwiązuje ten problem, wykorzystując certyfikat TLS *Transport Layer Security*, wcześniej znany jako SSL *Secure Sockets Layer*. Dzięki temu tworzona jest bezpieczna, szyfrowana transmisja między serwerem a przeglądarką, która chroni poufne informacje. =Różne mechanizmy uaktualniania= Mechanizmy uaktualniania można grupować na podstawie dwóch czynników: #Kto inicjuje uaktualnienie – przeglądarka czy serwer. #Typ uaktualnianego połączenia. Poniższe sekcje szczegółowo wyjaśniają te mechanizmy. ==Uaktualnienia inicjowane przez serwer== Gdy serwer internetowy wskazuje, że obsługuje HTTPS, przeglądarka może automatycznie przełączyć się na bezpieczne połączenie. Serwer może używać kilku metod, aby to osiągnąć: * [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security HTTP Strict Transport Security (HSTS)] to standard, który pozwala witrynom internetowym przekazać przeglądarce, że obsługują bezpieczne połączenia, a przeglądarka zapamięta to przy przyszłych połączeniach. Standard ten jest uzupełniany przez wbudowaną listę takich witryn, zwaną [https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Solutions_with_preload_list listą wstępnie załadowanych HSTS (HSTS preload list)]. * Rekordy zasobów HTTPS – [https://developer.mozilla.org/en-US/docs/Glossary/HTTPS_RR HTTPS Resource Records (HTTPS RR)] to specjalne wpisy DNS, które informują przeglądarkę, że serwer internetowy obsługuje HTTPS. * Chociaż technicznie nie jest to uaktualnienie połączenia, wiele witryn internetowych przekierowuje połączenia HTTP do HTTPS, używając kodów stanu przekierowania, takich jak [https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/301 301 Moved Permanently]. ==Uaktualnienia inicjowane przez przeglądarkę== Jeśli przeglądarka nie może określić, czy serwer internetowy obsługuje HTTPS, może mimo to spróbować uaktualnić połączenie. Ponieważ HTTPS jest powszechnie obsługiwany, proces ten często kończy się powodzeniem. Firefox obsługuje kilka funkcji uaktualniania połączeń inicjowanych przez przeglądarkę: {for fx136} * Funkcja [[HTTPS-First upgrades to secure connections|HTTPS-First]], to funkcja dostępna od [[Find what version of Firefox you are using|wersji Firefoksa]] 136. Zapewnia, że wszystkie połączenia najpierw próbują użyć protokołu HTTPS, a dopiero w przypadku niepowodzenia następuje powrót do HTTP. Dzięki temu zawsze wybierana jest najbezpieczniejsza opcja, bez zakłócania użytkownikom działania. [[Template:progressiverollout]] {/for} * Tryb [[HTTPS-Only Mode in Firefox|HTTPS-Only Mode]], to ustawienie, które użytkownicy mogą włączyć, aby mieć pewność, że Firefox nigdy nie nawiąże niezabezpieczonego połączenia bez uprzedniego poinformowania o tym użytkownika. Ponieważ większość stron internetowych obsługuje obecnie HTTPS, częste komunikaty pojawiające się przy odwiedzaniu stron HTTP mogą być dla użytkowników frustrujące. Z tego powodu tryb ten nie jest domyślnie włączony. * Istnieje kilka rozszerzeń do przeglądarki, które realizują pewne formy uaktualniania połączeń. Zazwyczaj są one przeznaczone do konkretnych zastosowań i skierowane do zaawansowanych użytkowników. ==Inne żądania== Opisane powyżej mechanizmy dotyczą głównie tzw. żądań „najwyższego poziomu” (ang. top-level), czyli takich, które mają miejsce podczas wpisywania adresu URL w pasku adresu lub kliknięcia odnośnika. Firefox obsługuje również inne typy żądań, takie jak pobieranie obrazków czy innych zasobów podrzędnych potrzebnych do wyświetlenia strony internetowej. Podczas gdy tryb [[HTTPS-Only Mode in Firefox|HTTPS-Only Mode]] w Firefoksie ma zastosowanie do wszystkich żądań, zasoby podrzędne są zazwyczaj uaktualniane przy użyciu następujących mechanizmów: * Dyrektywa [https://developer.mozilla.org/docs/Web/HTTP/Headers/Content-Security-Policy/upgrade-insecure-requests upgrade-insecure-requests] znajdująca się w nagłówku mechanizmu [https://developer.mozilla.org/docs/Web/HTTP/CSP Content Security Policy] (CSP) powoduje uaktualnienie żądań zasobów podrzędnych do bezpiecznego protokołu. * Algorytm zawartości mieszanej [https://developer.mozilla.org/docs/Web/Security/Mixed_content Mixed Content] zapewnia, że jeśli żądanie najwyższego poziomu, czyli główne połączenie ze stroną zostało nawiązane w sposób zaszyfrowany, to zasoby podrzędne również muszą być ładowane bezpiecznie, w przeciwnym razie ich załadowanie zostanie zablokowane.