Użycie protokołu HTTPS w „teorii” doszło nawet do skutkudo szyfrowania treści między komputerem użytkownika a serwerem zawierającym stronę internetową w celu unikaj ataków MITM że ten przypadek byłby „niemożliwy”. DuckDuckGo nie ucieka od tego i dlategoi tworzę funkcję o nazwie Smarter Encryption, przeznaczoną do automatycznego wysyłania żądań HTTPS do witryn HTTP czy witryna obsługuje HTTPS i czy znajduje się na liście witryn, które można aktualizować z DuckDuckGo.
W Smarter Encryption jest długa lista stron internetowych, które zawierają zaszyfrowane wersje (HTTPS) ich witryn internetowych, z których DuckDuckGo korzysta, aby zapewnić interakcję tylko z tymi zaszyfrowanymi wersjami. Wyszukiwarka automatycznie generuje tę listę podczas ciągłego przeglądania sieci.
Także to rodzi dwa główne scenariusze, w których pozwala poprawić prywatność:
- Po pierwsze, wiele witryn internetowych oferuje wersję zaszyfrowaną (HTTPS) i niezaszyfrowaną (HTTP), ale z różnych powodów nie przekierowuje automatycznie ruchu z wersji zaszyfrowanej. DuckDuckGo Smarter Encryption obsługuje ten scenariusz;
- Innym byłoby, gdyby nawet witryna internetowa oferowała protokół HTTPS, a użytkownik przeglądający uzyskał dostęp do jednego z jej adresów internetowych, a ta pierwsza próba nie została jeszcze zaszyfrowana, powodując wyciek podczas przeglądania.
Jest to szczególnie często widoczne w mediach społecznościowych., gdzie wiele linków do wiadomości jest wyświetlanych jako nieszyfrowane linki, ujawniając szczegóły tego, co przeczytałeś w pierwszym żądaniu HTTP. DuckDuckGo Smarter Encryption obsługuje również ten scenariusz, w którym wymusza dostęp do HTTPS.
Oto jak działa Smarter Encryption:
Kliknięcie lub wyszukanie niezabezpieczonej domeny (https). Domena http będzie szukać na Twojej lokalnej liście jeśli można ją natychmiast zaktualizować. W przeciwnym razie zostanie przekonwertowany na skrót SHA-1
Pierwsze cztery znaki tego skrótu trafiają do anonimowego serwisu DuckDuckGo, mądrzejszy_szyfrowanie.js, co gwarantuje, że dzienniki nigdy nie zawierają adresów IP ani innych danych osobowych.
Tak więc, podobnie jak w przypadku anonimowych zapytań w DuckDuckGo Search, wydawca (teoretycznie) nie może wiedzieć nic o osobach wysyłających te żądania.
Jednak DuckDuckGo dodał kolejną warstwę ochrony prywatności do tej anonimowej usługi, prosząc urządzenie o wysłanie tylko pierwszych czterech znaków domeny hash, aby usługa w żaden sposób nie mogła wskazać dokładnej odwiedzanej domeny.
Usługa anonimowa zwraca wszystkie domeny skrótów z pełnej listy Smarter Encryption odpowiadające pierwszym czterem znakom wysłanego skrótu. Tutaj urządzenie sprawdza zwrócone domeny skrótu, aby zobaczyć, czy skrót domeny, którą odwiedzam, dokładnie pasuje do jednej ze zwróconych domen skrótu. Jeśli tak, zostanie zaktualizowany!
Firma stworzyła listę ponad 10 milionów witryn, które stale aktualizuje. Ze względu na tak duży rozmiar listy nie można w pełni przechowywać w aplikacjach lub rozszerzeniach zainstalowanych na urządzeniach. Zamiast tego wydawca przechowuje lokalnie na urządzeniach najbardziej obciążone witryny, a pozostałą część listy zachowuje na swoich serwerach.
Ta funkcja nie jest ograniczona do użytkowników DuckDuckGo ponieważ kod używany teraz do Smarter Encryption Jest open source i jest dostępny na GitHub na licencji Apache 2.0.
Pinterest zdecydował się na skok i używa Smarter Encryption dla swoich linków zewnętrznych. Platforma podaje, że po zintegrowaniu funkcji DuckDuckGo „około 80 procent ruchu wychodzącego przechodzi teraz przez HTTPS, co stanowi wzrost o ponad 30 procent”.
Odnośnie kodu Smarter Encryption można znaleźć pod poniższym linkiem.
Osoby zainteresowane wypróbowaniem Smarter Encryption mogą pobrać przeglądarkę ze sklepów z aplikacjami na Androida lub iOS. Natomiast dla Chrome jest oferowany w postaci wtyczki.
Oto linki.
Bardzo dobre dla DuckDuckGo i poprawiające ochronę przeglądania przez użytkowników. Osobiście nie używałem go zbyt często. Pozdrowienia.