Smarter Encryption la función de DuckDuckGo para redirigir automáticamente a HTTPS

noviembre 22, 2019 , 0 Comments

Smarter-Encryption

El uso del HTTPS en “teoría” llego para cifrar el contenido que entre el ordenador de un usuario y el servidor que contiene la página web con la finalidad de evitar los ataques MITM que este caso seria “imposibles”. DuckDuckGo no se escapa de esto y es por ello que creo una función llamada Smarter Encryption, diseñada para enviar automáticamente solicitudes HTTPS a sitios HTTP si el sitio admite HTTPS y si es en la lista de sitios que se pueden actualizar desde DuckDuckGo.

En Smarter Encryption hay una larga lista de sitios web que contienen versiones encriptadas (HTTPS) de sus sitios web, que DuckDuckGo usa para garantizar que solo interactúe con estas versiones encriptadas. El motor de búsqueda genera automáticamente esta lista al explorar continuamente la web.

Además, de que plantea dos escenarios principales en los que permite mejorarla privacidad:

  1. Primero, muchos sitios web ofrecen una versión encriptada (HTTPS) y una versión sin encriptar (HTTP) de su sitio web, pero por diversas razones no redirigen el tráfico automáticamente su versión encriptada. DuckDuckGo Smarter Encryption admite este escenario;
  2. Otro seria si incluso si un sitio web ofrece HTTPS y el usuario que navega accede a una de sus direcciones web y este primer intento aún no está encriptado ocasionando que el comportamiento de navegación se filtre.

Esto es particularmente suele verse en las redes sociales, donde muchos enlaces de noticias se muestran como enlaces sin cifrar, lo que expone los detalles de lo que leyó en esta primera solicitud HTTP. DuckDuckGo Smarter Encryption también admite este escenario en donde forzá el acceso a HTTPS.

https-explanation

Así es como funciona Smarter Encryption:

Al dar clic o buscar un dominio no seguro (http). El dominio http se verá en su lista local para ver si se puede actualizar de inmediato. De lo contrario, se convertirá en hash SHA-1

Los primeros cuatro caracteres de este hash  se envían al servicio anónimo de DuckDuckGo, smarter_encryption.js, que garantiza que los registros nunca contengan direcciones IP u otra información personal.

Por lo tanto, al igual que las solicitudes anónimas en DuckDuckGo Search, el editor (en teoría) no puede saber cosas sobre las personas que realizan estas solicitudes.

Sin embargo, DuckDuckGo ha agregado otra capa de protección de privacidad a este servicio anónimo al pedir al dispositivo que envíe solo los primeros cuatro caracteres del dominio hash, de modo que el servicio no pueda de ninguna manera indicar el dominio exacto que sé visita.

El servicio anónimo devuelve todos los dominios hash de la lista completa de Smarter Encryption correspondiente a los primeros cuatro caracteres del hash enviado. Aqui el dispositivo revisa los dominios hash devueltos para ver si el hash del dominio que sé esta visitando coincide exactamente con uno de los dominios hash devueltos. Si es así, ¡se actualiza!

La compañía ha creado una lista de más de 10 millones de sitios que continúa actualizando. Debido a este gran tamaño, la lista no puede almacenarse completamente en aplicaciones o extensiones instaladas en dispositivos. En cambio, el editor almacena localmente los sitios con más tráfico en los dispositivos y retiene el resto de la lista en sus servidores.

Esta característica no está restringida a los usuarios de DuckDuckGo ya que el código utilizado para Smarter Encryption ahora es de código abierto y está disponible en GitHub bajo la licencia Apache 2.0.

Pinterest ha dado el paso y utiliza Smarter Encryption para sus enlaces externos. La plataforma dice que después de integrar la función DuckDuckGo, “alrededor del 80 por ciento del tráfico saliente ahora pasa por HTTPS, lo que representa un aumento de más del 30 por ciento”.

En cuanto al código de Smarter Encryption se puede consultar en el siguiente enlace.

Para quienes estén interesados en probar Smarter Encryption, pueden descargar el navegador desde las tiendas de aplicaciones de Android o iOS. Mientras que para Chrome se ofrece en forma de un complemento.

Los enlaces son estos.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.