فایرفاکس نسخه 37 همه ترافیک وب را رمزنگاری می‌ کند

به گزارش سافت گذر به نقل اززومیت؛ توسعه دهندگان مرورگر فایرفاکس، با ارائه‌ی قابلیتی جدید درصدد رمزنگاری کل ترافیک وب برآمدند. در این قابلیت، حتی اگر سرور یک شبکه‌ از HTTPS پشتیبانی نکند باز هم ترافیک آن رمزنگاری خواهد شد. ویژگی جدید فایرفاکس در نسخه‌ی ۳۷، رمزنگاری فرصت طلبانه نام دارد که به عنوان پلی بین ارتباطات HTTP و ارتباطات کاملا HTTPS بر پایه امنیت لایه انتقال یا لایه قبلی یعنی لایه سوکت‌های ایمن پروتکل، عمل می‌کند.

این معیارهای سنتی رمزنگاری بر پایه وب، به اپراتورهای سایت، برای گرفتن یک گواهی دیجیتالی صادرشده توسط یک گواهی کننده شناخته شده توسط مرورگر و برای پیاده سازی حفاظت TLS از طریق OpenSSL یا کتابخانه کدهای مشابه، نیاز دارند. حتی پس از آن هم بسیاری از سایت ها قادر نخواهند بود تا به صورت کامل صفحات خود را رمزنگاری کنند، چرا که تبلیغات و سایر محتواهای سوم شخص را به صورت نهفته در خود دارند، که کدهای رمز نشده خام صفحه را تشکیل می دهند.

OE، مخفف کلمه «رمزنگاری فرصت طلبانه» که برای سادگی مورد استفاده قرار می‌گیرد، به صورت پیش فرض در فایرفاکس نسخه‌ی ۳۷ فعال است عیب اصلی OE، نبود فرآیند شناسایی هویت برای صفحه گذاری رمزنگاری شده یک سرور متصل است.

در وبلاگ موزیلا توسعه دهنده‌ای به نام  پاتریک مک‌نوس، برخی از جزییات پشتیبانی از HTTP2 در فایرفاکس را تشریح کرده است :

OE رمزنگاری بدون شناسایی هویت را روی TLS، برای داده‌هایی که توسط نوشته‌های خالص منتقل نمی‌شوند، فراهم می‌کند. این کار مقداری محرمانگی را در مواجهه با شنود غیرفعال، در پی دارد و همچنین حفاظت بهتری را برای داده‌هایتان نسبت به TCP خام، وقتی با نویز تصادفی شبکه سر و کار داریم فراهم می‌کند. تنظیم سرور برای این کار نیازی نیست.

به وضوح این کار مزایایی را برای //:http به همراه دارد اما به خوبیِ //:https نخواهد بود. اگر می‌توانید از HTTPS استفاده کنید، درنگ نکنید چرا که فقط HTTPS می‌تواند از شما در برابر حملات فعال محافظت کند.

اما اگر هنوز محتواهایی دارید که جلوی مهاجرتتان به HTTPS را می‌گیرد، خصوصا وقتی با محتواهای در هم آمیخته سر و کار دارید، یا با محتواهای شخص ثالث در ارتباط هستید، OE یک ساز و کار برای انتقال رمزنگاری شده‌ی داده‌های http در اختیارتان می‌گذارد. خود این راهکار یک بهبود واضح نسبت به ارتباط خام به حساب می‌آید.

دو مرحله ساده برای پیکربندی یک سرور برای OE وجود دارد :

• نصب یک سرور TLS بر پایه h2 یا spdy روی یک پورت جداگانه مانند ۴۳۳. می‌توانید از یک گواهی خود امضا شده استفاده کنید، چون OE شناسایی هویت ندارد.
• افزودن یک هدر پاسخ Alt-Svc: h2=":433″ یا spdy/3.1، اگر می‌خواهید از یک سرور spdy مثل nginx استفاده کنید.

وقتی مرورگر آن هدر پاسخ را دریافت می‌کند، آغاز به بررسی صحت وجود سرویس HTTP/2 روی پورت ۴۴۳ خواهد کرد؛ و زمانی که یک جلسه با آن پورت ایجاد می‌شود، مسیریابی درخواست‌ها آغاز می‌شود و داده‌های خام از پورت ۸۰ به پورت ۴۴۳ ، با رمزنگاری، فرستاده می‌شود. تاخیری در پاسخ‌دهی وجود نخواهد داشت چون اتصال جدید قبل از استفاده، کاملا در پس زمینه برقرار می‌شود. اگر سرویس جایگزین یعنی پورت ۴۴۳ از دسترس خارج شود، فایرفاکس به صورت خودکار داده‌های خام را از پورت ۸۰ دریافت می‌کند. کلاینت‌هایی که با پروتکل صحیح صحبت نمی‌کنند، هدر را نادیده می‌گیرند و به استفاده از پورت ۸۰ ادامه می‌دهند.

ممکن است مک‌نوس درباره سادگی پشتیبانی از OE اغراق کرده باشد. اما در حال حاضر، پیاده سازی HTTP2 ارزش خاصی ندارد، چون سرورهای محبوب وبی مثل آپاچی و nginx هنوز از HTTP2 پشتیبانی نمی‌کنند. در فوریه، مک‌نوس گفته بود که ۹ درصد از همه تراکنش ها از کانال HTTP روی HTTP2 رخ می‌دهد، چرا که کاربران فایرفاکس نسخه‌های ۳۵ و ۳۶ بتا با استفاده از این پروتکل به سایت‌هایی مثل گوگل و توییتر متصل می‌شوند. حالا و با پشتیبانی کامل‌تر موزیلا در نسخه ۳۷، درصد نفوذ OE بیشتر هم خواهد شد.