
<div dir="ltr">Hi Micah,<div class="gmail_extra"><br></div><div class="gmail_extra">Thanks for getting back. Although I did end up doing this as an independent extension, I still think it would be great to have an https-only mode directly in HTTPS Everywhere, and would be glad to work on it. I'm not as familiar with the Chromium side of things, but I could certainly give it a shot. I like the idea of just making it an about:config pref for now. Would it make most sense to do this work against the master branch, or some other branch?</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Also, fyi I just published a blog post yesterday on why I think this kind of capability is important:  <a href="http://rx4g.wordpress.com/2013/08/26/why-browsers-need-encrypted-only-mode/">http://rx4g.wordpress.com/2013/08/26/why-browsers-need-encrypted-only-mode/</a> It mentions HTTPS Everywhere as well as the independent extension I did, but the the post actually goes further and argues for this as a core browser feature. I may be in the minority on that opinion, but it did spark some interesting discussion in /r/netsec (linked from the top of the post).</div>

<div class="gmail_extra"><br></div><div class="gmail_extra">Thanks,</div><div class="gmail_extra">Chris</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 20, 2013 at 2:19 PM, Micah Lee <span dir="ltr"><<a href="mailto:micah@eff.org" target="_blank">micah@eff.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Sorry about not responding to this for almost a month. I think<br>


integrating an https-only mode into HTTPS Everywhere would be great. If<br>

you'd like to start hacking on it, please do.<br>

<br>

I think that obviously this should default to off, and there should be<br>

some setting to turn it back on. But right now HTTPS Everywhere doesn't<br>

actually have a very robust settings dialog. For now it could just be an<br>

about:config preference, like extensions.https_everywhere.https_only.<br>

<br>

Would you want to work on this for both Firefox and Chromium?<br>

<div><div class="h5"><br>

On 07/28/2013 08:20 PM, Chris Wilper wrote:<br>

> Hi all,<br>

><br>

> As a user of https-everywhere, first I want to say thanks to the<br>

> people involved in developing and maintaining it over the years. It's<br>

> a great tool and promotes an important conversation.<br>

><br>

> When I first came across the extension, one thing I hoped it had was<br>

> an https-only mode -- a way to temporarily ensure that no unencrypted<br>

> web traffic could possibly leave my browser. Has this been discussed<br>

> before in the context of this project? I checked the mailing list<br>

> archives and came up short.<br>

><br>

> I'm sure folks here are familiar with the kinds of use cases that such<br>

> an assurance could help with, but here are a couple specific examples<br>

> to consider: 1) When I'm at my bank's website I want to make<br>

> absolutely sure I don't (accidentally or maliciously) get transferred<br>

> over to an unencrypted connection without noticing. 2) When browsing<br>

> anonymously with Tor, I don't want any unencrypted traffic to ever<br>

> pass through an exit node.<br>

><br>

> Anyway, I'd really like to see a mode like this integrated into<br>

> https-everywhere if it would be considered in-scope for the project.<br>

> Something like a quick toggle ability and indication in the toolbar<br>

> button graphic that you're in https-only mode. When in this mode,<br>

> non-https requests would simply fail before leaving the browser.<br>

><br>

> As a proof of concept, I did a standalone Firefox extension that does<br>

> this and put it up here: <a href="https://github.com/cwilper/http-nowhere" target="_blank">https://github.com/cwilper/http-nowhere</a>  If<br>

> there's support for having this kind of capability directly in<br>

> https-everywhere, I'd be glad to start hacking away at it in that<br>

> context, with as much guidance as the committers are willing to<br>

> provide. Failing that, I'd probably just continue on the standalone<br>

> route. Thoughts?<br>

><br>

> Thanks,<br>

> Chris<br>

><br>

</div></div>> _______________________________________________<br>

> HTTPS-everywhere mailing list<br>

> <a href="mailto:HTTPS-everywhere@mail1.eff.org">HTTPS-everywhere@mail1.eff.org</a><br>

> <a href="https://mail1.eff.org/mailman/listinfo/https-everywhere" target="_blank">https://mail1.eff.org/mailman/listinfo/https-everywhere</a><br>

><br>

<span class=""><font color="#888888"><br>

<br>

--<br>

Micah Lee<br>

Staff Technologist<br>

Electronic Frontier Foundation<br>

<a href="https://eff.org/join" target="_blank">https://eff.org/join</a><br>

@micahflee<br>

<br>

</font></span><br>_______________________________________________<br>

HTTPS-everywhere mailing list<br>

<a href="mailto:HTTPS-everywhere@mail1.eff.org">HTTPS-everywhere@mail1.eff.org</a><br>

<a href="https://mail1.eff.org/mailman/listinfo/https-everywhere" target="_blank">https://mail1.eff.org/mailman/listinfo/https-everywhere</a><br></blockquote></div><br></div></div>