L'ús de l'HTTPS en "teoria" arribo parella xifrar el contingut que entre l'ordinador d'un usuari i el servidor que conté la pàgina web amb la finalitat de evitar els atacs MITM que aquest cas seria "impossibles". DuckDuckGo no s'escapa d'això i és per això qui crec una funció anomenada Smarter Encryption, dissenyada per enviar automàticament peticions HTTPS, a llocs HTTP si el lloc permet HTTPS i si és en la llista de llocs que es poden actualitzar des DuckDuckGo.
En Smarter Encryption hi ha una llarga llista de llocs web que contenen versions encriptades (HTTPS) dels seus llocs web, que DuckDuckGo fa servir per garantir que només interactuï amb aquestes versions encriptades. El motor de cerca genera automàticament aquesta llista a l'explorar contínuament web.
A més, que planteja dos escenaris principals en els que permet millorar-la privacitat:
- Primer, molts llocs web ofereixen una versió encriptada (HTTPS) i una versió sense xifrar (HTTP) del seu lloc web, però per diverses raons no redirigeixen el trànsit automàticament la seva versió encriptada. DuckDuckGo Smarter Encryption admet aquest escenari;
- Un altre seria si fins i tot si un lloc web ofereix HTTPS i l'usuari que navega accedeix a una de les seves adreces web i aquest primer intent encara no està encriptat ocasionant que el comportament de navegació es filtri.
Això és particularment sol veure a les xarxes socials, On molts enllaços de notícies es mostren com a enllaços sense xifrar, el que exposa els detalls del que va llegir en aquesta primera sol·licitud HTTP. DuckDuckGo Smarter Encryption també admet aquest escenari on Forza l'accés a HTTPS.
Així és com funciona Smarter Encryption:
A el donar clic o buscar un domini no segur (Http). El domini http es veurà en la seva llista local per veure si es pot actualitzar immediatament. En cas contrari, es convertirà en hash SHA-1
Els primers quatre caràcters d'aquest hash s'envien a el servei anònim de DuckDuckGo, smarter_encryption.js, que garanteix que els registres mai continguin adreces IP o una altra informació personal.
Per tant, a l'igual que les sol·licituds anònimes en DuckDuckGo motor, l'editor (en teoria) no pot saber coses sobre les persones que realitzen aquestes sol·licituds.
No obstant això, DuckDuckGo ha afegit una altra capa de protecció de privacitat a aquest servei anònim a l'demanar a el dispositiu que enviï només els primers quatre caràcters de l'domini hash, de manera que el servei no pugui de cap manera indicar el domini exacte que sé visita.
El servei anònim retorna tots els dominis hash de la llista completa de Smarter Encryption corresponent als primers quatre caràcters de l'hash enviat. Aqui el dispositiu revisa els dominis hash retornats per veure si el hash de l'domini que sé aquesta visitant coincideix exactament amb un dels dominis hash retornats. Si és així, s'actualitza!
La companyia ha creat una llista de més de 10 milions de llocs que continua actualitzant. A causa d'aquest gran grandària, la llista no pot emmagatzemar-se completament en aplicacions o extensions instal·lades en dispositius. En canvi, l'editor emmagatzema localment els llocs amb més trànsit en els dispositius i reté la resta de la llista en els seus servidors.
Aquesta característica no es limita als usuaris de DuckDuckGo ja que el codi utilitzat per Smarter Encryption ara és de codi obert i està disponible en GitHub sota la llicència Apache 2.0.
Pinterest ha fet el pas i utilitza Smarter Encryption per als seus enllaços externs. La plataforma diu que després d'integrar la funció DuckDuckGo, «al voltant de l'80 per cent de l'trànsit sortint ara passa per HTTPS, el que representa un augment de més de l'30 per cent».
Pel que fa a el codi d'Smarter Encryption es pot consultar al següent enllaç.
Per als que estiguin interessats a provar Smarter Encryption, poden descarregar el navegador des de les botigues d'aplicacions d'Android o iOS. Mentre que per Chrome s'ofereix en forma d'un complement.
Els enllaços són aquests.
Molt bé per DuckDuckGo, i per millorar la protecció durant la navegació dels seus usuaris. Personalment no ho he fet servir molt. Salutacions.