HTTPS'nin "teoride" kullanımı bile geldibir kullanıcının bilgisayarı ile web sayfasını içeren sunucu arasındaki içeriği şifrelemek için MITM saldırılarından kaçının bu davanın "imkansız" olacağı. DuckDuckGo bundan kaçmıyor ve bu yüzdenve HTTPS isteklerini HTTP sitelerine otomatik olarak göndermek için tasarlanmış, Smarter Encryption adlı bir işlev oluşturuyorum site HTTPS'yi destekliyorsa ve DuckDuckGo'dan güncellenebilecek siteler listesindeyse.
Smarter Encryption'da, şifrelenmiş sürümleri içeren uzun bir web sitesi listesi vardır. DuckDuckGo'nun yalnızca bu şifreli sürümlerle etkileşime girmenizi sağlamak için kullandığı web sitelerinin (HTTPS). Siz sürekli olarak web'de gezinirken arama motoru bu listeyi otomatik olarak oluşturur.
Ayrıca, bu gizliliği geliştirmeye izin verdiği iki ana senaryo ortaya çıkarır:
- İlk olarak, birçok web sitesi, web sitelerinin şifrelenmiş bir sürümünü (HTTPS) ve şifrelenmemiş bir sürümünü (HTTP) sunar, ancak çeşitli nedenlerden dolayı, trafiği şifrelenmiş sürümlerinden otomatik olarak yeniden yönlendirmezler. DuckDuckGo Smarter Encryption bu senaryoyu destekler;
- Bir diğeri, bir web sitesi HTTPS sunsa ve gezinen kullanıcı web adreslerinden birine erişse ve bu ilk girişim şifrelenmemiş olsa da tarama davranışının sızmasına neden olursa olabilir.
Bu, özellikle sosyal medyada sıklıkla görülür., birçok haber bağlantısının şifrelenmemiş bağlantılar olarak görüntülendiği ve bu ilk HTTP isteğinde okuduklarınızın ayrıntılarını ortaya çıkaran. DuckDuckGo Smarter Encryption, HTTPS'ye erişimi zorladığı bu senaryoyu da destekler.
Smarter Encryption şu şekilde çalışır:
Güvenli olmayan bir alanı tıklama veya arama (http) Http alanı görmek için yerel listenize bakacak hemen güncellenebilirse. Aksi takdirde SHA-1 hash'e dönüştürülecektir
Bu hash'in ilk dört karakteri anonim DuckDuckGo hizmetine gönderilir, smarter_encryption.js, bu, günlüklerin hiçbir zaman IP adreslerini veya diğer kişisel bilgileri içermemesini sağlar.
Dolayısıyla, DuckDuckGo Arama'daki isimsiz istekler gibi, yayıncı (teoride) bu talepleri yapan kişiler hakkında bir şeyler bilemez.
Ancak DuckDuckGo, cihazdan karma etki alanının yalnızca ilk dört karakterini göndermesini isteyerek bu anonim hizmete başka bir gizlilik koruma katmanı ekledi, böylece hizmet hiçbir şekilde ziyaret edilen etki alanını tam olarak gösteremez.
Anonim hizmet, tam Akıllı Şifreleme listesinden tüm karma etki alanlarını döndürür gönderilen karmanın ilk dört karakterine karşılık gelir. Burada cihaz, ziyaret ettiğini bildiğim alanın karma değerinin, döndürülen karma etki alanlarından biriyle tam olarak eşleşip eşleşmediğini görmek için döndürülen karma etki alanlarını kontrol eder. Eğer öyleyse, güncellenir!
Şirket, güncellemeye devam ettiği 10 milyondan fazla sitenin bir listesini oluşturdu. Bu büyük boyut nedeniyle liste, cihazlarda yüklü uygulamalarda veya uzantılarda tam olarak depolanamaz. Bunun yerine, yayıncı en yoğun siteleri cihazlarda yerel olarak depolar ve listenin geri kalanını sunucularında tutar.
Bu özellik DuckDuckGo kullanıcıları ile sınırlı değildir Akıllı Şifreleme için kullanılan kod artık Açık kaynaklıdır ve Apache 2.0 lisansı altında GitHub'da mevcuttur.
Pinterest, atılım yaptı ve harici bağlantıları için Smarter Encryption kullanıyor. Platform, DuckDuckGo özelliğini entegre ettikten sonra, "giden trafiğin yaklaşık yüzde 80'inin artık yüzde 30'dan fazla bir artışla HTTPS'yi aştığını" söylüyor.
Daha Akıllı Şifreleme kodu ile ilgili olarak aşağıdaki bağlantıdan danışılabilir.
Smarter Encryption'ı denemek isteyenler, tarayıcıyı Android veya iOS uygulama mağazalarından indirebilirler. Chrome için ise bir eklenti şeklinde sunulur.
Bağlantılar bunlar.
DuckDuckGo için ve kullanıcılarınızın gezinme korumasını geliştirmek için çok iyi. Şahsen ben pek kullanmadım. Selamlar.