Certains sites web sont accessibles en HTTP et HTTPS mais l’on voudrait toujours les visiter en HTTPS pour éviter de se faire sniffer son mot de passe ou son cookie, ou laisser quelqu’un savoir ce que l’on consulte sur un site web (genre la NSA ou l’admin réseau).
Pour cela, le plugin pour Firefox NoScript a une fonction bien pratique qui permet de forcer l’accès de certains sites (ou de tous les sites) en HTTPS.
Il existe aussi le plugin Firefox HTTPS everywhere développé par l’Electronic Frontier Fondation mais bizarrement celui-ci n’est pas disponible dans le dépôt d’addons de Mozilla.
Pourquoi HTTPS EveryWhere n’est pas sur AMO ? La réponse se trouve dans une mailing list de l’EFF : https://lists.eff.org/pipermail/https-everywhere/2014-April/002050.html
« The main reason I haven’t put it in AMO *yet* is because AMO offers
*less* security to users than EFF self-hosting it, ironically. AMO
doesn’t do any code signing for extensions, so they’re only protected by
HTTPS. As we saw with Heartbleed, SSL private keys can be compromised. »
En gros, l’EFF dit qu’elle ne la pas mis sur AMO car elle n’a pas confiance dans HTTPS mais :
1. il s’agit d’une extension qui invite à faire confiance à HTTPS sur les sites web.
2. pour télécharger l’extension sur le site de l’EFF il faut faire confiance à HTTPS. ( https://www.eff.org/files/https-everywhere-latest.xpi )
C’est une blague !