การใช้ HTTPS ใน "ทฤษฎี" นั้นเกิดขึ้นได้เพื่อเข้ารหัสเนื้อหาระหว่างคอมพิวเตอร์ของผู้ใช้และเซิร์ฟเวอร์ที่มีหน้าเว็บเพื่อ หลีกเลี่ยงการโจมตีของ MITM ว่ากรณีนี้จะ "เป็นไปไม่ได้" DuckDuckGo ไม่หนีจากสิ่งนี้และนั่นคือเหตุผลว่าทำไมและฉันสร้างฟังก์ชันที่เรียกว่าการเข้ารหัสอย่างชาญฉลาดซึ่งออกแบบมาเพื่อส่งคำขอ HTTPS ไปยังไซต์ HTTP โดยอัตโนมัติ หากไซต์รองรับ HTTPS และหากอยู่ในรายชื่อไซต์ที่สามารถอัปเดตได้จาก DuckDuckGo
ที่ Smarter Encryption มีรายการเว็บไซต์มากมายที่มีเวอร์ชันเข้ารหัส (HTTPS) ของเว็บไซต์ของตนซึ่ง DuckDuckGo ใช้เพื่อให้แน่ใจว่าคุณโต้ตอบกับเวอร์ชันที่เข้ารหัสเหล่านี้เท่านั้น เครื่องมือค้นหาจะสร้างรายการนี้โดยอัตโนมัติเมื่อคุณท่องเว็บอย่างต่อเนื่อง
นอกจากนี้นั้น เพิ่มสองสถานการณ์หลักที่อนุญาตให้ปรับปรุงความเป็นส่วนตัว:
- ประการแรกเว็บไซต์จำนวนมากเสนอเวอร์ชันเข้ารหัส (HTTPS) และเวอร์ชันที่ไม่เข้ารหัส (HTTP) ของเว็บไซต์ของตน แต่ด้วยเหตุผลหลายประการพวกเขาจะไม่เปลี่ยนเส้นทางการรับส่งข้อมูลจากเวอร์ชันที่เข้ารหัสโดยอัตโนมัติ DuckDuckGo Smarter Encryption รองรับสถานการณ์นี้
- อีกประการหนึ่งคือแม้ว่าเว็บไซต์จะมี HTTPS และผู้ใช้ที่เรียกดูเข้าถึงที่อยู่เว็บแห่งใดแห่งหนึ่งและความพยายามครั้งแรกนี้ไม่ได้เข้ารหัส แต่ยังทำให้พฤติกรรมการท่องเว็บรั่วไหล
สิ่งนี้มักพบเห็นได้บ่อยในโซเชียลมีเดียซึ่งลิงก์ข่าวจำนวนมากจะแสดงเป็นลิงก์ที่ไม่ได้เข้ารหัสโดยจะเปิดเผยรายละเอียดของสิ่งที่คุณอ่านในคำขอ HTTP แรกนี้ DuckDuckGo Smarter Encryption ยังสนับสนุนสถานการณ์นี้ที่บังคับให้เข้าถึง HTTPS
นี่คือวิธีการทำงานของการเข้ารหัสที่ชาญฉลาดขึ้น:
การคลิกหรือค้นหาโดเมนที่ไม่ปลอดภัย (http) โดเมน http มันจะดูในรายการท้องถิ่นของคุณเพื่อดู หากสามารถอัปเดตได้ทันที มิฉะนั้นจะถูกแปลงเป็นแฮช SHA-1
อักขระสี่ตัวแรกของแฮชนี้ จะถูกส่งไปยังบริการ DuckDuckGo ที่ไม่ระบุชื่อ smarter_encryption.js ซึ่งช่วยให้มั่นใจได้ว่าบันทึกจะไม่มีที่อยู่ IP หรือข้อมูลส่วนบุคคลอื่น ๆ
ดังนั้นเช่นเดียวกับคำขอที่ไม่ระบุตัวตนใน DuckDuckGo Search ผู้เผยแพร่โฆษณา (ตามทฤษฎี) ไม่สามารถทราบสิ่งต่างๆเกี่ยวกับผู้ที่ส่งคำขอเหล่านี้ได้
อย่างไรก็ตาม DuckDuckGo ได้เพิ่มการป้องกันความเป็นส่วนตัวอีกชั้นให้กับบริการที่ไม่ระบุตัวตนนี้โดยขอให้อุปกรณ์ส่งเฉพาะอักขระสี่ตัวแรกของโดเมนแฮชดังนั้นบริการจึงไม่สามารถระบุโดเมนที่แน่นอนที่เข้าชมได้
บริการที่ไม่ระบุตัวตนจะส่งคืนโดเมนแฮชทั้งหมดจากรายการการเข้ารหัสที่ชาญฉลาดขึ้น ตรงกับอักขระสี่ตัวแรกของแฮชที่ส่ง ที่นี่อุปกรณ์จะตรวจสอบโดเมนแฮชที่ส่งคืนเพื่อดูว่าแฮชของโดเมนที่ฉันรู้ว่ากำลังเยี่ยมชมนั้นตรงกับโดเมนแฮชที่ส่งคืนหรือไม่ ถ้าเป็นเช่นนั้นจะได้รับการอัปเดต!
บริษัท ได้สร้างรายชื่อไซต์มากกว่า 10 ล้านไซต์ที่จะอัปเดตอย่างต่อเนื่อง เนื่องจากมีขนาดใหญ่รายการจึงไม่สามารถจัดเก็บได้อย่างสมบูรณ์ในแอปหรือส่วนขยายที่ติดตั้งบนอุปกรณ์ แต่ผู้เผยแพร่จะเก็บเว็บไซต์ที่มีผู้ใช้บริการมากที่สุดไว้ในอุปกรณ์และเก็บรักษารายการที่เหลือไว้บนเซิร์ฟเวอร์ของตน
คุณลักษณะนี้ไม่ จำกัด เฉพาะผู้ใช้ DuckDuckGo เนื่องจากรหัสที่ใช้สำหรับการเข้ารหัสอย่างชาญฉลาดในขณะนี้ เป็นโอเพนซอร์สและพร้อมใช้งานบน GitHub ภายใต้ใบอนุญาต Apache 2.0
Pinterest ได้ดำเนินการตามขั้นตอนและใช้การเข้ารหัสอย่างชาญฉลาดสำหรับลิงก์ภายนอก แพลตฟอร์มดังกล่าวระบุว่าหลังจากผสานรวมฟีเจอร์ DuckDuckGo แล้ว "ประมาณ 80 เปอร์เซ็นต์ของการรับส่งข้อมูลขาออกผ่าน HTTPS ซึ่งเพิ่มขึ้นมากกว่า 30 เปอร์เซ็นต์"
เกี่ยวกับรหัสการเข้ารหัสที่ชาญฉลาดขึ้น สามารถปรึกษาได้ในลิงค์ต่อไปนี้
สำหรับผู้ที่สนใจทดลองใช้ Smarter Encryption สามารถดาวน์โหลดเบราว์เซอร์ได้จากร้านค้าแอป Android หรือ iOS ในขณะที่ Chrome มีให้บริการในรูปแบบของปลั๊กอิน
ลิงค์มีดังนี้
ดีมากสำหรับ DuckDuckGo และเพื่อปรับปรุงการป้องกันการท่องเว็บของผู้ใช้ของคุณ โดยส่วนตัวฉันไม่ได้ใช้มันมากนัก ทักทาย.