Mozilla 在 Firefox 83 推出了 HTTPS-Only Mode:「Firefox 83 introduces HTTPS-Only Mode」。
就如同名稱的說明,這個模式只會允許 HTTPS 的連線,主要的設計方式是把「開 HTTP 連線」當作一種特殊權限,就像 notification 之類的權限一樣:
When you enable HTTPS-Only Mode:
- Firefox attempts to establish fully secure connections to every website, and
- Firefox asks for your permission before connecting to a website that doesn’t support secure connections.
使用者會先在設定裡面開啟這個全域設定:
開了以後如果想要連 HTTP 網站,就會遇到阻擋:
這個功能真的不賴,馬上想到 Tor Browser 與 Tails 應該都會改用這個,畢竟 Tor 的 HTTP 出口常常被搞...
我自己類似的保護措施是把 HTTP 頁面執行 JavaScript 的能力全部關掉,像是這樣 (這邊是 Brave 瀏覽器,是個基於 Chromium 的 fork):
然後對於需要 JavaScript 的 HTTP 頁面,我是透過「Simple JavaScript Toggle」暫時授權。
這樣至少在無法確認 integrity 的情況下不會執行 js,減少可被攻擊的面積...