<div dir="ltr">Ah neat! Https Everywhere as an app is a <i>really </i>interesting idea, Hans!<br><br>Do you think it'd be a heavier or lighter load on the device compared to a straight-up Firefox Add-on?<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div><br></div><div>--------------------------------------------</div><div>Q: Why is this email [hopefully] five sentences or less? | A: <a href="http://five.sentenc.es" target="_blank">http://five.sentenc.es</a><br><br></div><div><b>NOTE</b> that my incoming emails are delayed from arriving in my inbox until 9am daily. If you need to reach me sooner, please use other means of getting in touch. <a href="http://www.musubimail.com/gmail_timer.html" target="_blank">#slowwebmovement</a><br></div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Sat, Jan 17, 2015 at 1:37 PM, Hans-Christoph Steiner <span dir="ltr"><<a href="mailto:hans@guardianproject.info" target="_blank">hans@guardianproject.info</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I've been playing around with techniques of catching location sharing on<br>
Android, and finding way to remove privacy leaks.  Android's IntentFilters<br>
power to match URLs makes this quite easy to do system-wide.<br>
<br>
That work got me thinking: maybe it makes sense to have something like "HTTPS<br>
Everywhere" as an Android app.  It could claim all HTTP links, then the app<br>
would check if it has an HTTPS rewriting rule.  If yes, it rewrites it and<br>
passes it on.  If no, it either passes it on, or blocks access with a popup<br>
(this could be a preference).<br>
<br>
As an example use case, there are lots of apps that share location, and<br>
basically all of them use a HTTP URL.  Some links, like <a href="http://maps.google.com" target="_blank">http://maps.google.com</a><br>
or <a href="http://openstreetmap.org" target="_blank">http://openstreetmap.org</a>, can easily be rewritten to HTTPS links.  Others<br>
like <a href="http://amap.com" target="_blank">amap.com</a> or <a href="http://map.baidu.com" target="_blank">map.baidu.com</a> do not offer HTTPS.  A shared location link can<br>
often be a unique ID, so any network observer could use that to de-anonymize a<br>
device.<br>
<br>
You can find raw work here:<br>
<a href="https://github.com/eighthave/LocationPrivacy" target="_blank">https://github.com/eighthave/LocationPrivacy</a><br>
<br>
.hc<br>
<br>
--<br>
PGP fingerprint: 5E61 C878 0F86 295C E17D  8677 9F0F E587 374B BE81<br>
<a href="https://pgp.mit.edu/pks/lookup?op=vindex&search=0x9F0FE587374BBE81" target="_blank">https://pgp.mit.edu/pks/lookup?op=vindex&search=0x9F0FE587374BBE81</a><br>
_______________________________________________<br>
Guardian-dev mailing list<br>
<br>
Post: <a href="mailto:Guardian-dev@lists.mayfirst.org">Guardian-dev@lists.mayfirst.org</a><br>
List info: <a href="https://lists.mayfirst.org/mailman/listinfo/guardian-dev" target="_blank">https://lists.mayfirst.org/mailman/listinfo/guardian-dev</a><br>
<br>
To Unsubscribe<br>
        Send email to:  <a href="mailto:Guardian-dev-unsubscribe@lists.mayfirst.org">Guardian-dev-unsubscribe@lists.mayfirst.org</a><br>
        Or visit: <a href="https://lists.mayfirst.org/mailman/options/guardian-dev/patrick.c.connolly%40gmail.com" target="_blank">https://lists.mayfirst.org/mailman/options/guardian-dev/patrick.c.connolly%40gmail.com</a><br>
<br>
You are subscribed as: <a href="mailto:patrick.c.connolly@gmail.com">patrick.c.connolly@gmail.com</a><br>
</blockquote></div><br></div>