Как заставить использовать HTTP вместо HTTPS?

Я хочу достичь чего-то уникального и использовать HTTP вместо HTTPS для работы с различными веб-сайтами и интересуюсь, есть ли у кого-либо идеи, как это можно реализовать. В интернете сейчас очень сложно искать информацию, и он выдает такие результаты, как…искать с https! И вообще игнорирует мои запросы.

Мне это кажется интересным, и я всегда ищу уникальные способы использования технологий, которые дают нам разные преимущества. Я думаю, что http интересен, потому что я видел много различных сайтов, которые устанавливают странные незапрашиваемые соединения и вообще ведут себя довольно утаительно. Так что с помощью http мы можем, надеюсь, более подробно исследовать эти типы соединений и лучше понять утаительное поведение, которое развивается со временем.

В любом случае, я собираюсь продолжать исследовать эту тему, и, если кто-то в этой пустоте имеет идею, которая может быть полезной, это было бы… полезно.

спасибо

редактировать: я копаюсь в этом и нашел несколько базовых ответов, которые не полезны мне, например, использование настроек firefox для отключения перенаправления на https.

browser.fixup.fallback-to-https false

(не изменяет ситуацию)

https://stackoverflow.com/questions/30532471/firefox-redirects-to-https

Я думаю, что либо наши DNS-серверы, либо сами веб-серверы попытаются заставить нас всех использовать https, так что, возможно, единственное истинное решение будет заключаться в полном отключении протокола https на локальном хосте, и если удаленные веб-серверы откажутся подключаться по http, то мы можем смело игнорировать их как небезопасные и искать альтернативы.

Также вероятно, что для успеха этой стратегии нам понадобятся уникальные решения вместо одного, потому что технологии будут адаптировать новые методы, чтобы неправомерно навязывать ограничения на наши, в данном случае, взаимодействия с удаленными веб-серверами.

Итак, я продолжаю работать над этой проблемой и пробую разные вещи. Вот как я отключил https на локальном хосте, используя gufw (добавил простое правило, чтобы запретить входящие/исходящие https) [img] https://i.imgur.com/LLdRltq.png [/img]

Это настораживает, потому что я заметил, что незапрашиваемые подключения приходят к моему браузеру и из него, и нет возможности узнать, что инициировало эти обмены или что они делают.

Полное отключение https с помощью моего брандмауэра на моем компьютере мешает firefox получать доступ ко многим сайтам… как этому: unix.stackexchange.com и google. (они пытаются загрузиться в бесконечном цикле) Однако с помощью другого веб-браузера, lynx, я могу сразу подключиться к google по http.

[img] https://i.imgur.com/qsjpxET.png [/img]

Вы не можете заставить удаленный сайт обслуживать вас через HTTP, если он настроен только на службу через HTTPS. Обычно настраивают HTTP-эндпойнт так, чтобы он просто перенаправлял на HTTPS-эндпойнт для удобства.

Если удаленный хост не слушает запросы HTTP, вы не можете заставить его отправлять ответ HTTP. Вы можете попытаться избежать HTTPS через конфигурацию клиента, но, как вы уже заметили, многие сайты и службы только перенаправляют на зашифрованные каналы с открытого текста.

В Интернете почти все сайты, которые имеют что-то интересное, используют https. Вселенная http быстро сжимается. Это означает, что количество веб-сайтов, которые вы можете использовать для своего http проекта, уменьшается. Некоторые сайты все еще могут перенаправлять с сайта https через http, но эпоха обычных http сайтов подходит к концу.

Как бы ни было ваше уникальное желание, начните использовать https, или вы окажетесь устаревшим, используя http.

Ваш DNS-сервер не заставит вас использовать https. Это полное недопонимание того, как работает DNS и как функционирует сеть.

HTTP в настоящее время является предшествующим протоколом. Спрашивать “как заставить все использовать HTTP вместо HTTPS” все равно что спрашивать “как заставить все использовать telnet вместо ssh”. Единственное, что большинство сайтов обслуживает по HTTP – это перенаправление на HTTPS. Таким образом, ответ на заданный вопрос: это невозможно.

Вы могли бы отключить HSTS и режим только HTTPS (я обнаружил, что он никогда не включается по умолчанию на личном опыте) как минимум в Firefox, что позволит вам установить исходное соединение HTTP – а затем в большинстве случаев сразу перенаправит на HTTPS.

Это было бы контрпродуктивно делать без причины. Замена HTTP на HTTPS – не плохая вещь, так как она предотвращает перехват или изменение информации третьими сторонами. Использовать telnet в 2024 году – это примерно такое же плохое решение.

Тем не менее, вы указали что-то, что намекает на реальный вопрос:

Мне это кажется интересным, и я всегда ищу уникальные способы использования технологий, которые дают нам разные преимущества. Я думаю, что http интересен, потому что я видел много различных сайтов, которые устанавливают странные незапрашиваемые соединения и вообще ведут себя довольно утаительно, так что с помощью http мы можем, надеюсь, более подробно исследовать эти типы соединений и лучше понять утаительное поведение, которое развивается со временем.

Исходя из этого, я предполагаю, что вопрос заключается в следующем: как мне перехватить свой собственный HTTPS-трафик с целью его анализа?

Существует два способа, как это можно сделать:

• Перехватить трафик внутри браузера с помощью встроенных инструментов разработчика.

  Firefox (другие браузеры тоже, но я сосредоточу свое внимание на Firefox в этом ответе) включает в себя набор инструментов разработчика. Эти инструменты позволяют, среди прочего, перехватывать трафик всего загруженного веб-сайта, независимо от того, является ли он HTTP или HTTPS. Это возможно, потому что браузер уже является одной из сторон – именно он шифрует и расшифровывает трафик в соединении.

  Конкретным инструментом для этой цели является Сетевой монитор, который хорошо документирован в официальной документации: https://firefox-source-docs.mozilla.org/devtools-user/network_monitor/index.html.

  Это имеет преимущество в требовании минимальной настройки и простоте использования. Однако это имеет недостаток, что не может перехватывать программное обеспечение, отличное от браузера.

• Перехватить трафик вне браузера с помощью прокси-сервера.

  Этот метод также может использоваться для перехвата HTTP-трафика, однако, поскольку HTTPS может обнаруживать такие атаки, прокси-сервер должен быть доверенным системой, чтобы соединение считалось доверенным и не вызывало ошибок сертификатов. Это требует помещения самоподписанного корневого сертификата в системное хранилище. Конечно, прокси-сервер тоже необходимо настроить для системы, так же как и обычный HTTP-прокси.

  mitmproxy может быть использован для этой цели. У него есть обширная документация, включая настройку корневого сертификата: https://docs.mitmproxy.org/stable/concepts-certificates/. Он также может использоваться как обычный HTTP-прокси, так что виден как HTTP, так и HTTPS трафик.

  Это сложнее в настройке, но может использоваться для любого программного обеспечения, при условии, что оно принимает самоподписанные сертификаты (так называемая привязка сертификатов общая для проприетарного программного обеспечения Android, такое программное обеспечение потребовало бы реверс-инжиниринга для перехвата его трафика, как если бы оно использовало свою собственную схему шифрования).

Хотя это, вероятно, должно быть комментарием, у меня нет доступа к комментариям, поэтому я скажу это здесь: поскольку HTTP и HTTPS являются протоколами прикладного уровня, это вероятно, не должно быть в форуме Unix & Linux.