Браузерные расширения

Рассказываю о лучших расширениях для Google Chrome, упрощающих работу с вкладками, повышающих безопасность пребывания в сети и устраняющих основные недостатки браузера.

СrxMouse Gestures

Популярный плагин, добавляющий в браузер новые механизмы управления базовыми функциями Google Chrome. Принцип работы прост: зажимаем правую кнопку мыши, рисуем курсором определенный жест и отпускаем зажатую кнопку.

Интерфейс расширения crxmouse для Google Chrome

Таким образом, можно перемещаться между вкладками, создавать новые, закрывать открытые страницы и перемещаться по пунктам меню. Можно рисовать и новые жесты, закрепляя за ними собственные команды.

Расширение помогает ускорить навигацию по интерфейсу браузера и не совершать лишних движений при выполнении рутинных задач.

AdGuard

Лучший блокировщик рекламы в рунете. Дополнение AdGuard по качеству блокировки контента обходит даже всем известный AdBlock. Это легковесное дополнение, блокирующее рекламу и защищающее пользователей от отслеживания конфиденциальных данных.

Интерфейс дополнения AdGuard

В AdGuard по умолчанию включен большой список фильтров рекламы для российских сайтов. При желании можно добавить собственные. Также можно создать белый список ресурсов, на которых останется реклама даже с включенным расширением.

AdGuard также предотвращает работу скриптов, мешающих блокировщику рекламы. На какие бы ухищрения не шли администраторы сайтов, AdGuard все равно будет удалять рекламу.

Checker Plus for Gmail

Это дополнение встраивает практически полноценный клиент Gmail в панель управления Google Chrome. Сразу после установки расширения справа от поисковой строки появится иконка, отображающая список непрочитанных сообщений.

Внешний вид дополнения Checker Plus для Google Chrome

Если нажать на значок расширения, то откроется компактный интерфейс Google Почты со всей входящей корреспонденцией. Письма можно удалять, сортировать и даже отвечать на них.

Также это дополнение отправляет уведомления, когда на почту приходит новое письмо, причем оповещения приходят, даже если браузер закрыт.

Papier

Papier превращает новую вкладку в браузере в подобие блокнота, который поддерживает форматирование Markdown. Расширение позволяет быстро записывать новые идеи прямо в Chrome, не переключаясь в отдельное приложение.

Интерфейс расширения Papier

Все записи из Papier сохраняются локально и доступны даже при отсутствии интернета. Создавать учетную запись и хранить данные в облаке не нужно. Правда, все записи остаются на ПК и не синхронизируются с Google Chrome на других устройствах.

Papier поддерживает темную тему, умеет считать количество введенных знаков и экспортировать написанные тексты в формат PDF.

Screencastify

Одно из лучших расширений Google Chrome для создания видеоинструкций и онлайн-уроков.

Screencastify работает как браузерный инструмент для скринкастинга (то есть записи изображения). Видео из Screencastify можно дополнить картинкой с веб-камеры, звуком со встроенного микрофона или прямо из браузера. Так делают многие лекторы.

Дополнение для записи экрана Screencastify

По ходу записи можно использовать аннотационные инструменты. Они нужны, чтобы подсветить определенные участки страницы или что-то нарисовать прямо в окне браузера. По завершении записи полученный ролик автоматически сохраняется в облако Google Drive.

Session Buddy

Session Buddy упрощает менеджмент открытых вкладок. Это расширение заменяет стандартную новую вкладку страницей со всеми используемыми сайтами и недавно запущенными сессиями (то есть окнами с определенным набором вкладок).

Внешний вид приложения Session Buddy

Дополнение в хронологическом порядке сортирует все открытые веб-страницы, хранит историю посещений и позволяет быстро восстановить все ранее открытые сайты, если браузер вдруг закроется с ошибкой или вы случайно его выключите.

Вкладки в Session Buddy можно делить на группы вручную, переименовывать их и сортировать удобным образом. В дальнейшем созданные группы можно использовать для быстрого перехода сразу к нескольким сайтам.

1Password X

В список лучших расширений для Google Chrome не могла не попасть браузерная версия наиболее защищенного и удобного менеджера паролей. 1Password X полностью повторяет функциональность одноименных десктопных и мобильных приложений.

Интерфейс расширения 1Password X для Google Chrome

С помощью дополнения можно автоматически подставлять сохраненные пароли и данные банковских карт в соответствующие веб-формы. Можно генерировать новые пароли при регистрации учетных записей. Также оно проверяет, не были ли скомпрометированы используемые пароли.

Данные из 1Password X синхронизируются с облачным хранилищем 1Password и мобильными приложениями. Недостатком расширения можно назвать его стоимость. Для полноценной работы с сервисом нужно подключить подписку стоимость 379 рублей в месяц.

HabitLab

Дополнение к браузеру, способное повлиять на ваши привычки. Задача HabitLab оптимизировать рабочий процесс и сократить время пребывания в социальных сетях. Можно запретить себе смотреть ролики на YouTube больше часа в сутки или отвечать на сообщения во ВКонтакте больше 30 минут в день.

Внешний вид расширения habitlab

Отличие HabitLab от множества других подобных расширений заключается в ненавязчивом подходе. Здесь никто не устанавливает правила автоматически. Вы сами решаете, какие сайты хотите посещать реже и сколько времени готовы ежедневно на них проводить, чтобы не навредить себе и своей продуктивности.

А можно, наоборот, запретить себе перерабатывать и ограничить время, которое можно проводить в почтовом ящике или в рабочем чате.

Blur

Лучшее расширение для Google Chrome по мнению параноиков. Blur прячет от любопытных глаз всю конфиденциальную информацию. Не дает сторонним ресурсам наблюдать за вами со стороны и собирать приватные данные для трекинга и настройки рекламы.

Интерфейс дополнения Blur

А еще в Blur встроен менеджер паролей. Он подставляет их в нужные поля, как и 1Password. То же касается и платежных данных. При покупке премиум-версии плагина появляется возможность маскировать номера банковских карт и выполнять покупки в сети анонимно, не оставляя кому-либо шансов на отслеживание вашей деятельности.

В общем, это швейцарский нож для тех, кто часто использует в сети конфиденциальные данные и не хочет, чтобы они попали в руки злоумышленников.

MozBar

Расширение для SEO-специалистов, помогающее оптимизировать сайты для поисковых роботов Google. MozBar позволяет анализировать различные поисковые запросы, наблюдать за показателями сайта, подсвечивать ключевые слова и прочие нужные элементы страницы.

Интерфейс лучшего расширения для Google Chrome для SEO-специалистов

По ходу работы плагин дает советы по оптимизации сайта, собирает массу полезных данных и создает удобные для восприятия графики, позволяющие оценить качество выполняемой работы.

Полученную из MozBar информацию можно легко экспортировать, создав отчет в специальном формате.

Better History

Да, в Google Chrome есть отдельное окно для управления историей, но оно не отличается богатой функциональностью. В нем даже нет удобного способа навигации по времени. А ведь зачастую мы напрочь забываем хотя бы приблизительное название посещенных сайтов, но помним, когда мы на них заходили.

Интерфейс расширения BetterHistory

Better History расширяет возможности встроенного окна с историей и добавляет в него горизонтальный ползунок, позволяющий перемещаться по конкретным датам в истории браузинга. Можно радикально сузить поиск сайтов до конкретного дня и часа.

Также Better History совершенствует встроенный поиск, чтобы можно было искать не только по названию сайтов, но и по контенту, который эти сайты в себе содержали. Это уж точно поможет разыскать забытую страницу.

Mercury Reader

В Google Chrome до сих пор нет режима чтения, и поэтому приходится искать альтернативные решения, добавляющие в браузер эту функцию. Одним из таких решений является дополнение Mercury Reader, превращающее любую страницу с огромным количеством рекламы и лишнего контента в приятное чтиво с красивыми шрифтами и без отвлекающих факторов.

Режим чтения для браузера Google Chrome

Mercury Reader запускается практически на любой странице нажатием комбинации клавиш Control/Command + Esc. Сразу после нажатия открытая статья превратится в страницу книги без баннеров и специфичных шрифтов.

Визуальную составляющую текста можно настроить на свой вкус, изменив стиль текста, включив темную тему или изменив размер букв.

Unshorten.link

Сокращенные ссылки – это, конечно, удобно. Можно спрятать гигантскую ссылку из нескольких сотен знаков за компактным и легко читаемым URL. Но у них есть один важный недостаток – невозможно определить, на какой сайт в итоге попадет пользователь, кликнув по сокращенному URL. А это уже риск для безопасности компьютера и персональных данных пользователя.

Всплывающее окно расширения Unshorten.link

Unshorten.link исправляет ситуацию. С помощью этого дополнения можно укороченную ссылку преобразовать в обычную еще до перехода на нее. Причем расширение работает в автоматическом режиме. Не нужно самостоятельно копировать ссылку и вставлять куда-то – при клике по укороченному URL браузер отреагирует самостоятельно, предложив сначала взглянуть на оригинальный адрес и отсканировать его на наличие вирусов.

OneTab

Лучшее расширение Google Chrome для тех, кто часто открывает по несколько десятков вкладок и пытается с ними сладить. OneTab размещает все открытые вкладки на одной странице в хронологическом порядке. На этой странице хорошо видны названия сайтов, их фавиконки и прочие детали, помогающие ориентироваться и открывать нужные ссылки.

Интерфейс дополнения OneTab

OneTab позволяет закрыть все активные вкладки, которые вы держите в открытом состоянии, потому что они могут понадобиться в любой момент. Можно в один клик их закрыть, но при этом сохранить список закрытых вкладок в отдельном окне OneTab.

После этого вкладки можно восстановить все разом или открывать каждую по мере необходимости. Также список страниц из OneTab можно одним нажатием экспортировать в текстовый файл.

Check My Links

Еще один инструмент для SEOшников и вебмастеров. Принцип работы расширения простейший – оно анализирует выбранную страницу, проверяет каждую ссылку и, если находит нерабочую, подсвечивает ее, оповещая о находке пользователя.

Интерфейс расширения Check My Links для Google Chrome

Todoist

Один из наиболее популярных менеджеров задач для компьютеров и мобильных устройств можно поселить прямо в браузере. Удобство этого расширения заключается в интеграции списка задач в панель управления Google Chrome. Не нужно каждый раз открывать официальный сайт Todoist или запускать приложение, чтобы создать задачу, завершить уже существующую или просто проверить список дел.

Менеджер задач Todoist

Функционально Todoist для Google Chrome почти ничем не ограничен. Это полноценный таск-менеджер, но в более компактном облике. Он даже уведомления может присылать через встроенную в браузер систему оповещений. Но для работы с ним все же нужна учетная запись, а для доступа к некоторым функциям еще и премиум-аккаунт стоимостью 229 рублей в месяц.

HoverZoom+

Полезное дополнение для тех, кто часто пользуется сайтами с большим количеством миниатюрных фото. Чтобы не переходить по каждой ссылке и не открывать мини-изображение в отдельной вкладке, можно просто навести курсор, и картинка автоматически увеличится.

Пример работы плагина HoverZoom+

После установки HoverZoom+ даже не нужно ничего нажимать. Расширение работает в автоматическом режиме и увеличивает все, на что вы наведете курсор. Размер увеличенного изображения зависит от его оригинального разрешения. Если картинка сама по себе маленькая, то и HoverZoom+ не спасет.

Не стоит путать HoverZoom+ с оригинальной версией HoverZoom, которую удалили из Chrome Web Store за распространение вирусов. В этой версии все угрозы были удалены.

Web of Trust

Еще одно отличное расширение для параноиков. WOT сканирует все посещаемые страницы и видимые ссылки, а затем присваивает им рейтинг доверия. Если оценка низкая, значит, сайт грешит распространением вирусов, отслеживанием конфиденциальных данных или фишингом (расширение подскажет, чем именно). Если оценка высокая, значит, сайту можно доверять и спокойно переходить по ссылке. На рейтинг влияют реальные люди, установившие расширение, поэтому ему точно можно доверять.

Пример отображения рейтинга в Web of Trust

Это расширение может быть особенно полезно неопытным пользователям сети, которые пока не способны самостоятельно определить, каким ресурсам в интернете можно верить, а каким нельзя.

Stylish

Лучший плагин для тех, кто знает, как работает CSS, и хочет изменить внешний вид посещаемых сайтов. С помощью Stylish можно самостоятельно редактировать CSS-файлы, отвечающие за внешний вид страниц. Можно поменять шрифты или просто изменить их размер. Можно поменять цветовую схему, добавить границы для кнопок, изменить тему сайта целиком или слегка поменять оттенок одного из цветов. В общем, можно поменять все, что меняется с помощью редактирования CSS.

Сайт, измененный приложением Stylish

Пользователи расширения уже создали сотни тем для популярных социальных сетей, поисковика Google и других распространенных ресурсов. Поэтому Stylish можно использовать, даже если вы совсем не разбираетесь в CSS, но очень хотите освежить внешний вид надоевших веб-страниц.

Яндекс.Советник

Одно из лучших расширений для Google Chrome, которое поможет пользователям, часто покупающим в интернете товары или авиабилеты. Это небольшой плагин, беспрерывно отслеживающий посещаемые страницы и предлагающий наиболее выгодные предложения по разыскиваемым товарам или билетам.

Интерфейс расширения Яндекс.Советник

Например, вы можете открыть сайт М.Видео и отыскать там Xbox, а Советник в этот момент сравнит стоимость товара на других сайтах и предложит вам более дешевый вариант в соседнем магазине. Работает это все на базе Яндекс.Маркета.

С авиабилетами та же история. У Яндекса есть свой агрегатор, мониторящий стоимость билетов в разных авиакомпаниях. Данные оттуда моментально поступают в браузер, чтобы пользователь не переплатил за полет.

Mate Translate

Лучший из всех доступных для Google Chrome переводчиков. В браузере Google, конечно, уже есть фирменный сервис по переводу страниц и отдельных слов, но на фоне Mate Translate он выглядит довольно скучно и слабо.

Дизайн плагина Mate Translate для Google Chrome

Mate Translate умеет переводить страницы целиком на несколько языков, показывает словарные дефиниции для отдельных слов (независимо от языка), а также предлагает встроенный в панель управления интерфейс для перевода фраз или слов, которых вовсе нет на странице.

Найденные слова и предложения можно сохранять в список избранных для изучения. При этом все находки синхронизируются с мобильным приложением Mate Translate, если таковое установлено на вашем смартфоне или планшете.

HTTPS Everywhere

Продукт совместной деятельности создателей Tor Project (знаменитого браузера для выхода в даркнет и защиты конфиденциальных данных) и консорциума Electronic Frontier Foundation.

Принцип работы HTTPS Everywhere

Это расширение заставляет каждый сайт взаимодействовать с пользователем только через протокол HTTPS. Плагин будет запрашивать подключение по зашифрованному каналу везде, где оно доступно. В противном случае оно будет предупреждать о возможной угрозе при переходе по ссылке, не поддерживающей современный стандарт защиты.

Print Friendly

Расширение для тех, кто хочет экономить бумагу и краску в принтере. Оно автоматически преобразует распечатываемые страницы в более удобный формат без лишних визуальных блоков, рекламы и прочего бесполезного мусора, на который уйдет цветная краска.

Главная страница расширения Print Friednly

Если вы часто распечатываете веб-сайты, то это незаменимая вещь как лично для вас, так и для планеты в целом. Print Friendly пытается сократить количество блоков на сайте так, чтобы по итогу пришлось печатать только текст без кнопок и всяческих панелей управления.

Earth View

Довольно бесполезное, но популярное расширение для Google Chrome. Earth View – это плагин, заменяющий новую вкладку в браузере на красивую фотографию нашей планеты, сделанную со спутника. Расширение работает в тандеме с сервисом Google Earth, поэтому в нем регулярно появляются качественные изображения поверхности Земли. Никакой практической пользы, но зато море эстетического удовольствия.

Фото земли из дополнения Earth View

Это было последнее расширение в подборке. Надеюсь, что вы найдете среди них что-то интересное и полезное для себя.

Введение

В последние годы мы стали свидетелями того, как Интернет и целый ряд отраслей, которые его обслуживают (например, браузеры, поисковые системы и т. Д.), Начинают более серьезно относиться к безопасности пользователей. Хром сейчас предупреждение пользователей против HTTP-сайтов с большим количеством браузеров, готовых следовать, в то время как Google Search подтвердил, что они повышают рейтинг в поисковых системах для HTTPS веб-сайтов.

Подобные разработки побудили значительную часть владельцев веб-сайтов переместить свои серверы со старого небезопасного протокола HTTP на более безопасный альтернативный протокол HTTPS. (HTTPS считается более безопасным, поскольку он требует аутентификации серверов с помощью сертификатов SSL как средства защиты пользователей от большинства типов сетевых атак.)

Однако большинство веб-сайтов внедрили HTTPS только для своих наиболее важных компонентов, таких как вход в систему или запросы POST, но все же могут использовать HTTP для других «некритических» функций.

Это имело смысл в первые дни HTTPS, так как зашифрованные соединения являются более дорогими в вычислительном отношении из-за необходимости выполнять рукопожатия для каждого нового подключения. Более того, в то время многие широко используемые платформы, библиотеки и среды веб-разработки не были готовы к HTTPS — факт, который вызывал у администраторов и разработчиков нескончаемую головную боль в виде ночных сбоев приложений или скрытых ошибок времени выполнения.

Конечно, это уже не так — на самом деле, как утверждается в этой статье, не используя HTTPS для все подключения вашего сайта на самом деле плохо для вашего бизнеса.

Смешанный контент

Сайты, которые не обслуживают весь свой контент через HTTPS, называются смешанный контент веб-сайты. Академик бумаги опубликованные в 2015 году обнаружили, что более 43% их выборки из топ-100,000 XNUMX Alexa обслуживают по крайней мере один тип смешанного контента.

Хотя это и не так уж важно, смешанный контент может быть довольно опасным для пользователей, но он также может иметь негативные последствия и для веб-сайтов.

Вопросы безопасности

Наиболее важной причиной использования HTTPS для всего вашего сайта является безопасность. Все незащищенное соединение HTTP — все, что нужно хакерам. Злоумышленники «человек посередине» (MITM) может заменить любой контент HTTP на вашей странице, чтобы украсть учетные данные и сеансы, получить конфиденциальные данные или запустить браузерные эксплойты и установить вредоносное ПО на компьютеры ваших посетителей.

Скомпрометированный вашим сайтом, естественно, заставит ваших пользователей не доверять и избежать этого в будущем, эффективно повреждая вашу онлайн репутацию.

И Firefox, и Chrome началось по умолчанию блокировать смешанный контент, позволяя пользователям вручную загружать контент по HTTP. Тем не менее, поскольку смешанный контент представляет собой угрозу безопасности, оба браузера показывают пользователям предупреждение о смешанном контенте, что также может негативно повлиять на репутацию вашего сайта.

Firefox mixed content warning

Проблемы с производительностью

Помимо безопасности, все большее распространение HTTP / 2 В отрасли появилось множество обновлений производительности и безопасности в Интернете.

Хотя увеличение производительности кажется нелогичным, так как HTTP / 2 только работает поверх зашифрованных соединений HTTPS протокол позволяет браузерам использовать одно зашифрованное соединение с веб-сервером HTTPS для всех своих коммуникаций.

Повторное использование одного и того же соединения устраняет накладные расходы, возникающие из-за многократного установления новых (то есть повторного рукопожатия). Это означает, что переход от зашифрованных соединений HTTPS к незашифрованному HTTP на сайте со смешанным контентом на самом деле медленнее и требует больше ресурсов, чем посещение полностью защищенного сайта с использованием одного соединения HTTPS.

HTTP / 2 также реализует 0-RTT режим возобновления сеанса, позволяющий браузерам возобновить приостановленный сеанс с веб-сайтом HTTPS, который они посетили ранее, используя только один запрос (вместо полного рукопожатия). Это делает возобновление HTTP / 2 как минимум столь же быстрым, как и незашифрованное HTTP-соединение, но при этом обеспечивает все преимущества HTTPS. Обслуживание смешанного контента означает, что ваш веб-сайт не может в полной мере воспользоваться этой или любой другой замечательной функцией HTTP / 2.

В обоих случаях HTTP / 2 повышает скорость подключения посетителей к вашему сайту — и скорость имеет значение. Исследования на протяжении многих лет показали, что отзывчивость и скорость загрузки страницы являются критическими требованиями к дизайну пользовательского интерфейса. Чем медленнее время отклика веб-сайта, тем меньше вероятность того, что пользователи останутся вовлеченными, и вовлечение пользователей напрямую влияет на пользовательский опыт вашего веб-сайта (и, следовательно, на коэффициент конверсии).

Смешанный контент также может влиять на производительность на уровне базовых веб-технологий, используемых на вашем сайте. Браузеры сейчас ограничить возможности JavaScript такие как работники службы и push-уведомления только в безопасных контекстах, поскольку в противном случае они могут быть использованы хакерами в злонамеренных целях Это снова означает, что ваш сайт не может использовать ни одну из этих технологий при обслуживании смешанного контента.

Вопросы SEO

Поисковая оптимизация (SEO) — это хлеб с маслом онлайн-маркетологов. SEO относится к практике улучшения рейтинга сайта в страница результатов поисковой системы (SERP), что напрямую влияет на объем трафика сайта.

Google подтвердил, что их алгоритм ранжирования результатов поиска дает небольшое повышение рейтинга веб-сайтам, обслуживаемым через HTTPS. Поскольку повышение происходит в режиме реального времени и для каждого URL-адреса, обслуживание веб-сайта в целом по HTTPS приведет к повышению SEO для всего веб-сайта (а не только для тех URL-адресов, которые обслуживаются по HTTPS). Конечно, это повышение ранжирования довольно легкое по сравнению с другими, такими как качественный контент или пользовательский трафик, оно все же вознаграждает ваши инвестиции в удаление смешанного контента.

Google также недавно объявленный эта скорость загрузки страницы и общая производительность веб-сайта принимаются во внимание (тяжело) при определении рейтинга. Это означает, что оптимизация производительности HTTP / 2 и удаление смешанного контента могут работать вместе, чтобы улучшить видимость вашего сайта в Интернете.

Наконец, если вы хотите в полной мере использовать SSL в SEO вашего сайта, вы можете рассмотреть Сертификаты SSL.com EV, которые предлагают самые высокие гарантии вашим посетителям с помощью индикаторов безопасности (таких как зеленая полоса в браузере), чтобы они были в безопасности и взаимодействовали с вашим контентом, а более длительные посещения означают более высокий рейтинг.

Первая проблема запроса

Мы надеемся, что до этого момента в этой статье было несколько веских аргументов против смешанного контента, хотя даже если вы решите полностью перевести свой веб-сайт на HTTPS, есть некоторые улучшения, которые вы можете внести.

Когда пользователи вводят URL вашего сайта в браузере, они обычно никогда не вводят полностью имя протокола (т.е. ). Естественно, браузер не знает, по какому протоколу обслуживается ваш сайт, и по умолчанию использует HTTP.

Если ваш сайт настроен правильно, он перенаправит (через ответы HTTP 301/302) браузер на свой экземпляр HTTPS; хотя это означает, что браузеры должны выполнять два запроса вместо одного запроса HTTPS при первом посещении вашего сайта.

Это может быть проблематично, потому что пользователи могут воспринимать отставание, получая плохое первое впечатление о сайте. Как таковые, они с меньшей вероятностью будут задерживаться, что в конечном итоге может привести к снижению посещаемости.

Более того, хакеры могут перехватить этот первый HTTP-запрос, чтобы прочитать или изменить его, прежде чем попасть на сервер. Распространенным явлением для случаев такого типа является выполнение сетевой атаки, называемой Разбор SSL что позволяет злоумышленнику заменить HTTPS-соединение незащищенным HTTP-соединением.

HTTP Strict Transport Security на помощь

Строгая транспортная безопасность HTTP or HSTS это попытка решить эту проблему. Реализованный Инженерной рабочей группой по Интернету (IETF) в RFC 6797, HSTS — это заголовок HTTPS, который веб-серверы могут включать в свои ответы. Этот заголовок инструктирует совместимые браузеры всегда использовать HTTPS при посещении веб-сайта. HSTS применяется ко всем запросам, включая изображения, таблицы стилей CSS и любые другие веб-ресурсы.

Как вы можете себе представить, браузер должен сначала посмотреть заголовок HSTS, чтобы соблюдать его, а это означает, что HSTS полагается на то, что злоумышленники не могут перехватить этот первый HTTP-запрос. В результате HSTS сам по себе не является полным решением, а скорее простым обходным путем для удаления SSL.

Предварительная загрузка HSTS

К счастью, проект Chromium предложил решение, которое они назвали Предварительная загрузка HSTS, который состоит из ведения публичного списка веб-сайтов, которые запросили функцию предварительной загрузки HSTS. При посещении веб-сайта браузеры Chromium сверяются со списком и, если сайт найден там, они продолжат общаться с ним по протоколу HTTPS (включая этот первый запрос) независимо от предыдущей истории или ввода пользователя.

Как следствие, предварительная загрузка может повысить производительность и безопасность вашего сайта, удалив первоначальный HTTP-запрос. Кроме того, это может косвенно повысить рейтинг вашего сайта в поисковой выдаче и удобство для пользователей.

Все основные браузеры (Google Chrome, Microsoft IE / Edge, Apple Safari, Mozilla Firefox и Opera) также обращаются к списку предварительной загрузки HSTS от Chromium, что означает, что присоединение к этому списку обеспечит преимущества предварительной загрузки для ваших посетителей, независимо от того, какой браузер они используют.

Однако было бы упущением, если бы мы не упомянули о том, что существуют опасения по поводу масштабируемости решения для списка предварительной загрузки HSTS — оно не может включать все веб-сайты в Интернете из-за практических размеров и ограничений вычислительной сложности, и, следовательно, вход может стать все более трудным. Со временем предварительная загрузка HSTS становится все более популярной.

Как я могу присоединиться?

Если вы заинтересованы в присоединении к списку предварительной загрузки HSTS, имейте в виду, что ваш сайт должен следовать определенным правилам. Проект Chromium опубликовал список требований к подаче заявок для веб-сайтов, желающих присоединиться к веб-сайту своего проекта. Требования включены дословно в следующий список, однако вы можете найти более подробную информацию в HSTS RFC 6797.

Чтобы быть принятым в список предварительной загрузки HSTS, ваш сайт должен:

  1. Подать действительный сертификат.
  2. Перенаправьте с HTTP на HTTPS на том же хосте, если вы прослушиваете порт 80.
  3. Обслуживать все субдомены по HTTPS. В частности, вы должны поддерживать HTTPS для www субдомен, если существует запись DNS для этого субдомена.
  4. Обслуживайте заголовок HSTS, соответствующий RFC 6797, в базовом домене для запросов HTTPS:
    • Самый большой max-age должно быть не менее 31536000 секунд (1 год).
    • Самый большой includeSubDomains директива должна быть указана.
    • Самый большой preload директива должна быть указана.
  5. Если вы обслуживаете дополнительную переадресацию с вашего сайта HTTPS, эта переадресация должна Также иметь совместимый заголовок HSTS (как и страницу, на которую он перенаправляет).

Вот пример правильного заголовка HSTS.

Строгая транспортная безопасность: максимальный возраст = 63072000; IncludeSubdomains; предварительная нагрузка

Вы можете проверить свой веб-сайт на соответствие требованиям, посетив веб-сайт со списком предварительной загрузки и введя свой домен в поле ввода. Веб-приложение будет указывать, какие проблемы (если таковые имеются) вам нужно исправить.

HSTS preload eligibility tool

К сожалению, сложность современных веб-сайтов не позволяет создать универсальную конфигурацию сервера для предварительной загрузки HSTS, которая будет включена в эту статью. Могут быть проблемы времени выполнения со сторонними или другими пользовательскими компонентами, которые должны решаться индивидуально.

Хотя проект Chromium включил некоторые рекомендации по развертыванию на веб-сайте предварительной загрузки, мы всегда рады помочь нашим клиентам повысить их безопасность связи. Просто напишите нам по электронной почте на support@ssl.com и эксперт будет рад обсудить лучший путь для ваших потребностей безопасности.

HTTPS становится протоколом веб-коммуникаций по умолчанию, и его полная приверженность может иметь только положительные последствия для владельцев сайтов и посетителей. Мы рекомендуем удалять любой смешанный контент с ваших сайтов, чтобы избежать ненужных проблем (и недовольных пользователей).

Как всегда, спасибо за выбор SSL.comгде мы считаем, что более безопасный Интернет — это лучший Интернет.

Обновление (7 октября 2019 г.): 3 октября 2019 года, блог Chromium объявленный что Chrome будет блокирование весь смешанный контент, включая изображения, аудио и видео, в несколько этапов, начиная с Chrome 79 (декабрь 2019 г.) и заканчивая Chrome 81 в начале 2020 года. Этот шаг Google означает, что как никогда важно исключить смешанный контент из Ваш сайт.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *