Чтобы защитить данные и компьютеры пользователей, в корпорации Mozilla подготовили список сайтов, с которыми Firefox должен соединяться только в защищенном режиме. Для принудительного установления защищенного соединения браузер пользуется серверным механизмом HTTP Strict Transport Security, сообщают в Mozilla.
С помощью HSTS сервер сигнализирует о необходимости защиты соединения. Но когда браузер подключается к такому серверу впервые, то неизвестно, следует ли применять защищенное соединение, поскольку он может оказаться ненадежным. Чтобы обойти эту проблему, в Firefox внесли заранее составленный список доменов, с которыми по умолчанию следует соединяться по HTTPS. Так что даже если атакующие попытаются заставить сервер соединяться по незащищенным протоколам, браузер этого не допустит, полагают в Mozilla.
Список частично позаимствован из аналогичного перечня Google Chrome. Он заставляет браузер защищенно соединяться со всеми субдоменами google.com, а также с сайтами, чьи операторы попросили внести их в список. Например, HTTPS-соединения устанавливаются с paypal.com, twitter.com, lastpass.com и torproject.org.