¿Los mensajes de chat de Facebook están cifrados?

  

Eché un vistazo con Wireshark y no pude ver ningún mensaje de texto sin formato. Todo lo relacionado con Facebook estaba pasando por TLS / SSL. Parece que, al menos en mi caso, todo estaba encriptado. Sin embargo, agradecería que alguien con más conocimientos lo confirme.

Eso sería exactamente lo que haría para comprobar si mi navegador está enviando mensajes de texto sin formato desde alguna aplicación web. Sin embargo, como se encuentra en una página que está conectada a través de HTTPS, la llamada AJAX debe realizarse a través de HTTPS gracias a la misma política de origen. Hay una pregunta antigua (pero aún real) sobre SO al respecto .

Si observa los comentarios sobre esa pregunta, también verá una referencia a la especificación CORS que argumenta lo siguiente sobre C ross S it R esource S haring:

  

los agentes de usuario pueden terminar el algoritmo y no realizar una solicitud. Esto se podría hacer porque, por ejemplo:

     

...

     

• No se permite https a http .
  

Ahora, esta parte de tu pregunta es otra historia:

  

Y como mi comprensión de https es un poco mala calidad, ¿qué significaría usar https para chatear en términos de cifrado? ¿Habría cifrado para los mensajes entrantes, mensajes salientes, o ambos (o ninguno)?

Para la parte de cifrado, simplemente lo referiré a la pregunta SO relevante .

Para la parte "mala calidad" probablemente te refieras al (bastante) famoso ataque sslstrip de Moxie Marlinspike. Es un MITM que falsifica en su navegador con quien realmente está hablando, es un ataque que requiere que el atacante tenga el control de la red en la que se encuentra. HSTS se está implementando ampliamente en estos días (Facebook lo usa) por lo que sslstip se está convirtiendo en un problema menor. Y también tenemos una pregunta de referencia para sslstrip .

Referencias:

• Solicitud de Ajax HTTP a través de la página HTTPS
• Intercambio de recursos entre orígenes
• ¿Cómo proporciona seguridad HTTPS?
• ¿Cómo funciona SSLstrip?