Användningen av HTTPS i "teori" blev jämnför att kryptera innehållet mellan en användares dator och servern som innehåller webbsidan för att undvik MITM-attacker att detta fall skulle vara "omöjligt". DuckDuckGo flyr inte från detta och det är därföroch jag skapar en funktion som heter Smarter Encryption, utformad för att automatiskt skicka HTTPS-förfrågningar till HTTP-webbplatser om webbplatsen stöder HTTPS och om den finns i listan över webbplatser som kan uppdateras från DuckDuckGo.
På Smarter Encryption finns en lång lista över webbplatser som innehåller krypterade versioner (HTTPS) av deras webbplatser, som DuckDuckGo använder för att säkerställa att du bara interagerar med dessa krypterade versioner. Sökmotorn genererar automatiskt den här listan när du kontinuerligt surfar på webben.
Också det höjer två huvudscenarier där det gör det möjligt att förbättra integriteten:
- För det första erbjuder många webbplatser en krypterad version (HTTPS) och en okrypterad version (HTTP) av sin webbplats, men av olika skäl omdirigerar de inte automatiskt trafik från sin krypterade version. DuckDuckGo Smart Encryption stöder detta scenario;
- Ett annat skulle vara om även om en webbplats erbjuder HTTPS och den surfarande användaren får åtkomst till en av dess webbadresser och detta första försök inte är krypterat men ändå orsakar surfbeteendet att läcka.
Detta ses särskilt ofta på sociala medier., där många nyhetslänkar visas som okrypterade länkar, vilket visar informationen om vad du läser i denna första HTTP-begäran. DuckDuckGo Smarter Encryption stöder också detta scenario där det tvingar åtkomst till HTTPS.
Så här fungerar smartare kryptering:
Klicka eller söka efter en osäker domän (http). Http-domänen det kommer att se på din lokala lista för att se om det kan uppdateras omedelbart. Annars kommer den att konverteras till SHA-1-hash
De första fyra tecknen i denna hash skickas till den anonyma DuckDuckGo-tjänsten, smarter_encryption.js, vilket säkerställer att loggar aldrig innehåller IP-adresser eller annan personlig information.
Så, som de anonyma förfrågningarna på DuckDuckGo Search, kan utgivaren (i teorin) inte veta saker om de personer som gör dessa förfrågningar.
DuckDuckGo har dock lagt till ytterligare ett lager av sekretessskydd till denna anonyma tjänst genom att be enheten att bara skicka de fyra första tecknen i hash-domänen, så att tjänsten inte på något sätt kan ange exakt den domän som besöks.
Anonym tjänst returnerar alla hash-domäner från hela listan över smartare kryptering motsvarande de fyra första tecknen i den skickade hash. Här kontrollerar enheten de returnerade hash-domänerna för att se om hash för den domän som jag vet besöker exakt matchar en av de returnerade hash-domänerna. I så fall uppdateras det!
Företaget har skapat en lista med mer än 10 miljoner webbplatser som den fortsätter att uppdatera. På grund av denna stora storlek kan listan inte lagras helt i appar eller tillägg installerade på enheter. Istället lagrar utgivaren de mest trafikerade platserna lokalt på enheter och behåller resten av listan på sina servrar.
Den här funktionen är inte begränsad till DuckDuckGo-användare eftersom koden används för smartare kryptering nu Det är öppen källkod och tillgängligt på GitHub under Apache 2.0-licensen.
Pinterest har tagit steget och använder smartare kryptering för sina externa länkar. Plattformen säger att efter integreringen av DuckDuckGo-funktionen "cirka 80 procent av utgående trafik går nu över HTTPS, en ökning med mer än 30 procent."
När det gäller den smartare krypteringskoden kan konsulteras i följande länk.
För dem som är intresserade av att prova smartare kryptering kan de ladda ner webbläsaren från appbutikerna Android eller iOS. Medan det för Chrome erbjuds i form av ett plugin.
Länkarna är dessa.
Mycket bra för DuckDuckGo och för att förbättra användarnas surfskydd. Personligen har jag inte använt det mycket. Hälsningar.