<html><head></head><body><div>Hi all</div><div><br></div><div>On Fri, 2020-10-30 at 23:05 -0400, Roger Dingledine wrote:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><div>I spent some time this week refining a new exit scanner, and today we</div><div>pushed some new reject rules to kick out some relays that we confirmed<br></div><div>were running mitmproxy to do more sslstrips.</div></blockquote><div><br></div><div>Good. Does this mean it will be check and bumped more regularly? </div><div>I see that lots of relays are running for more than one month from now. </div><div><br></div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><div>Expect some upcoming next steps that aim to change the fundamental arms<br></div><div>race, including experiments to use https by default in Tor Browser, either<br></div><div>via HTTPS Everywhere's "Encrypt All Sites Eligible" option (you can turn<br></div><div>that on right now) or via Firefox's upcoming built-in version of the idea:<br></div><div><a href="https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/19850">https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/19850</a></div></blockquote><div><br></div><div>Yes. From the browser perspective, HTTPS should be enforced whatever the context. We may blame final Tor users or website administors for not following security guidance (eg. HSTS preload) but in the end it is the Tor user privacy that is compromised. This is lasting for months and could have been easily prevented. This game of cat and mouse is not good for Tor reputation.</div><div><br></div><div>Thanks</div><div class="-x-evo-signature-wrapper"><span class="-x-evo-signature" id="3fd50a0bdb4b21dbb9df761d7764d71291200f7c"><pre>-- <br></pre><div data-evo-paragraph="" class="">Croax</div></span></div></body></html>