51工具盒子

依楼听风雨
笑看云卷云舒,淡观潮起潮落

POST Search Privacy

ID: jhpgcbhpnhkgpkmahfefpidpmbdcplnd

提供方: TensorTom

版本: 1.0.2

大小: 21.53KB

更新时间: 2023-03-07 00:11:51

支持语言: 英语

简介:

自动将搜索提供商的不安全 GET 请求替换为安全/私密的 POST 请求。
自动将搜索提供商的不安全 GET 请求替换为安全/私密的 POST 请求。

版本:1.0.2

支持的搜索引擎:

  • 首页
  • DuckDuckGo

试图添加 qwant 以隐私为中心的搜索引擎,但它们不支持 HTTP POST。想象一下我的惊讶。

动机

这是一个很简单但长期存在的问题。我们都知道,如果我们访问链接中带有"https://"的网站,则意味着我们的网络浏览器与该网站建立了加密 (SSL) 连接。这非常适合安全地提交密码和其他个人数据。问题是,在 GET 请求中构成 URL 的字符根本不是私有的。

  • POST 请求不会被浏览器或搜索历史缓存(GET 请求是)。
  • `https` 网站上的 POST 请求对您的 ISP 是隐藏的(GET 请求不是)。

GET 和 POST 请求?

假设爱丽丝访问了"https://acmebank.com",她在那里登录了她的银行账户。为了登录,她在银行网站上提交了一个包含她的用户名和密码的表格。当她点击登录/提交按钮时,她的用户名和密码会安全地发送到"acmebank.com",因为:

  • 登录表单传统上使用称为 POST 的 HTTP(通过 HTTPS)方法。
  • POST 请求(表单)通过 HTTP 标头传输到网站。如果 URL 以"https://"开头,则 POST 请求已加密。没有外部实体(她的 ISP、政府等)可以直接监视 Alice 提交的内容。如果它是一个 GET 请求,Alice 在点击提交后会在她的地址栏中看到类似这样的内容:`https://acmebank.com/login/?user=alice&password=monkey123`。

搜索引擎使用 GET?为什么!

这没有多大意义,是吗?转到任何搜索引擎,甚至是以隐私为中心的搜索引擎(DuckDuckGo、Startpage 等),然后搜索"test123"。您会看到地址栏中的地址现在包含您的搜索查询(例如 `https://www.startpage.com/do/search?query=test123` )。恭喜。您现在对搜索习惯的隐私为零。

阴谋

我会在这里考虑阴谋的可能性。你有一个高级的编程方法,所有的网络开发者都知道默认使用它,但是很神奇:

  • 所有主要搜索引擎,包括以隐私为中心的搜索引擎(DuckDuckGo 和 Startpage)默认使用 GET 请求。
  • 没有主要的网络浏览器,包括以隐私为中心的浏览器 (Brave),不支持搜索提供商的 POST 请求。

并不是说他们不支持 POST。 DuckDuckGo 和 Startpage 都支持它,但默认情况下它是关闭的,浏览器搜索提供商不支持它。美国国家安全局和英国情报部门显然已经渗透了我们的搜索基础设施。

Hail Hydra(或者不要使用此扩展名)

简单的解决方案

该扩展程序在后台监视您的搜索。如果它发现一个 GET 请求被用于搜索一个流行的搜索引擎,它会即时将其转换为 POST。该扩展程序不会保留您的任何搜索历史记录,也无法将其传输到任何地方,除非安全地传输到您正在搜索的引擎。 Alice 的 ISP、政府等只会看到她访问了 `https://www.startpage.com/do/search`。她的搜索查询"test123"(以及所有未来的搜索)现在可以安全私密地传输。

对于安装扩展的我们,问题解决了。其他人呢?好吧,几年前就有大量的功能请求线程。我参加了其中的一些。我们坐在这里。

---------- 更新日志 ----------
1.0.2

  • 从带有 BFG 的 vcs 中删除构建缓存 #2
  • 将 Web Store art 移动到 art.zip 并将 art.zip 移动到 #3 的根目录
  • 小重构。
    1.0.1
  • 修复了从地址栏中断起始页搜索的错误。
  • 为搜索加载页面添加深色主题样式,使其看起来更好看。
  • 对 README.md 文件进行了一些改进(675c642 和 ebe3cbb)。
  • 创建了 Chrome 网上应用店磁贴图像。
    1.0.0
  • 初始发行版。

插件下载:

赞(5)
未经允许不得转载:工具盒子 » POST Search Privacy