Використання HTTPS у "теорії" прийшло навітьщоб зашифрувати вміст між комп'ютером користувача та сервером, що містить веб-сторінку, щоб уникати атак MITM що ця справа була б "неможливою". DuckDuckGo не рятується від цього, і саме томуі я створюю функцію під назвою Smarter Encryption, розроблену для автоматичного надсилання запитів HTTPS на сайти HTTP якщо сайт підтримує протокол HTTPS і якщо він є у списку сайтів, які можна оновити з DuckDuckGo.
У Smarter Encryption існує довгий список веб-сайтів, які містять зашифровані версії (HTTPS) своїх веб-сайтів, які DuckDuckGo використовує для забезпечення взаємодії лише з цими зашифрованими версіями. Пошукова система автоматично генерує цей список під час постійного перегляду веб-сторінок.
Крім того піднімає два основних сценарії, в яких це дозволяє покращити конфіденційність:
- По-перше, багато веб-сайти пропонують зашифровану версію (HTTPS) та незашифровану версію (HTTP) свого веб-сайту, але з різних причин вони не перенаправляють автоматично трафік зі своєї зашифрованої версії. DuckDuckGo Smarter Encryption підтримує цей сценарій;
- Іншим може бути, якщо навіть якщо веб-сайт пропонує HTTPS, а користувач, який переглядає сторінку, отримує доступ до однієї зі своїх веб-адрес, і ця перша спроба ще не зашифрована, що спричиняє витік поведінки веб-перегляду.
Це особливо часто можна спостерігати в соціальних мережах., де багато посилань на новини відображаються як незашифровані, посилаючись на деталі прочитаного в цьому першому запиті HTTP. DuckDuckGo Smarter Encryption також підтримує цей сценарій, коли він примушує доступ до HTTPS.
Ось як працює розумніше шифрування:
Клацання або пошук незахищеного домену (http). Домен http воно буде відображатися у вашому місцевому списку, щоб побачити якщо його можна одразу оновити. В іншому випадку він буде перетворений у хеш SHA-1
Перші чотири символи цього хешу надсилаються до анонімної служби DuckDuckGo, smarter_encryption.js, що гарантує, що журнали ніколи не містять IP-адрес та іншої особистої інформації.
Отже, як і анонімні запити в DuckDuckGo Search, видавець (теоретично) не може знати речей про людей, які роблять ці запити.
Однак DuckDuckGo додав ще один рівень захисту конфіденційності до цієї анонімної служби, попросивши пристрій надіслати лише перші чотири символи хеш-домену, так що служба жодним чином не може вказати точний домен, який відвідується.
Анонімна служба повертає всі хеш-домени із повного списку розумнішого шифрування що відповідає першим чотирьом символам надісланого хешу. Тут пристрій перевіряє повернуті хеш-домени, щоб перевірити, чи точно відповідає хеш домену, який я знаю, який відвідує, одному із повернутих хеш-доменів. Якщо так, він оновлюється!
Компанія створила список із понад 10 мільйонів сайтів, які вона продовжує оновлювати. Через цей великий розмір список не можна повністю зберегти в програмах або розширеннях, встановлених на пристроях. Натомість видавець зберігає найактивніші сайти локально на пристроях, а решту списку зберігає на своїх серверах.
Ця функція не обмежена для користувачів DuckDuckGo оскільки код, який використовується для інтелектуального шифрування зараз Він відкритий і доступний на GitHub за ліцензією Apache 2.0.
Pinterest зробив крок і використовує інтелектуальне шифрування для своїх зовнішніх посилань. Платформа зазначає, що після інтеграції функції DuckDuckGo "близько 80 відсотків вихідного трафіку зараз переходить через HTTPS, що збільшилося більше ніж на 30 відсотків".
Щодо інтелектуального коду шифрування з ними можна ознайомитись за наступним посиланням.
Для тих, хто зацікавлений у спробному шифруванні, вони можуть завантажити браузер із магазинів додатків для Android або iOS. У той час як для Chrome він пропонується у формі плагіна.
Посилання такі.
Дуже добре для DuckDuckGo та для покращення захисту користувачів від перегляду веб-сторінок. Особисто я цим не користувався багато. Привітання.