Mozilla включила в состав Firefox список заранее определенных доменов, с которыми браузер будет связываться только по защищенному протоколу, что поможет пользователям защищать данные и безопасно принимать или передавать информацию по сети. Для форсирования защищенных соединений браузер будет использовать механизм HSTS (HTTP Strict Transport Security), который применяется серверами для индикации того, что браузер должен инициировать защищенную сессию.
По словам Девида Килира, инженера Mozilla, когда браузер впервые подключается к HSTS-серверу, у браузера еще нет информации о том, какой тип соединения использовать, так как HSTS-заголовки браузер ранее от сервера не получал. Соответственно, атакующий может прослушать трафик первой сессии, либо вообще подделать HSTS-заголовок, чтобы переключить на себя весь пользовательский трафик. Чтобы предотвратить подобное, разработчики изначально внедрили в браузер список доменов, работа с которыми возможна только через защищенные каналы.
«Даже когда пользователь впервые подключается, его браузер уже знает, с какими ресурсами можно устанавливать соединения по защищенному каналу. Это значительно повышает безопаность веб-сессии без дополнительных манипуляций со стороны пользователя», — говорит Килир.
Firefox использует HSTS-список, полученный от Google. По умолчанию в браузер вписана поддержка всех ресурсов Google, а также некоторых других проектов, таких как paypal, twitter, lastpass, torproject и других.