<div dir="ltr"><div>Unsecure connections can be MITMed easily. If the site is not HSTS preload list, the corresponding rule should stay.</div><div><br></div><div>Best regards,</div><div>Maxim Nazarenko<br></div><div class="gmail_extra"><br><div class="gmail_quote">On 21 July 2015 at 12:21, Martin Mulazzani <span dir="ltr"><<a href="mailto:mmulazzani@sba-research.org" target="_blank">mmulazzani@sba-research.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">We changed the labeling in the expert mode - its now "Rule makes no<br>
sense" for exactly these cases. We aim for two manual evaluations per<br>
page, with at least one in expert mode.<br>
<br>
The border-line use cases are those of scientific value, while we also<br>
generated a ruleset based on the existing HTTPSEveryhwere rules (but in<br>
a rather hacky way). One observation here is that a considerable<br>
percentage of the rules no longer need to be included, as port 80<br>
redirects to HTTPS anyway.<br>
<br>
I'll keep you updated. Please keep klicking, and spread the link!<br>
<br>
Thx, Martin<br>
<span><br>
On 2015-07-17 19:39, Dave Warren wrote:<br>
> On 2015-07-17 01:25, Greg Lindahl wrote:<br>
>> On Thu, Jul 16, 2015 at 09:49:26AM +0200, Martin Mulazzani wrote:<br>
>>> Hi all!<br>
>>><br>
</span>>>> Yesterday we launched a new version of <a href="https://tlscompare.org" target="_blank" rel="noreferrer">https://tlscompare.org</a>. If you<br>
<span class="im HOEnZb">>>> use HTTPSEverwhere, please disable it - then go to<br>
</span><span class="im HOEnZb">>>> <a href="https://tlscompare.org" target="_blank" rel="noreferrer">https://tlscompare.org</a>, and click compare. Rinse, repeated, and klick<br>
>>> some more.<br>
>> For my first try, I got a site where https redirected to http. I'm not<br>
>> sure what to click, and the FAQ doesn't help.<br>
><br>
> I'd say they're not identical. Think about it in a HTTPS Everywhere<br>
> context, if this rule were implemented, you'd end up with a loop, and<br>
> the user wouldn't get what they intended.<br>
><br>
> But that's just me, I'm not involved with the project, wait for official<br>
> feedback for an official answer :)<br>
><br>
</span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
HTTPS-Everywhere mailing list<br>
<a href="mailto:HTTPS-Everywhere@lists.eff.org">HTTPS-Everywhere@lists.eff.org</a><br>
<a href="https://lists.eff.org/mailman/listinfo/https-everywhere" target="_blank" rel="noreferrer">https://lists.eff.org/mailman/listinfo/https-everywhere</a></div></div></blockquote></div><br></div></div>