¿Los mensajes de chat de Facebook están cifrados?

3

Me preguntaba si los mensajes de chat en Facebook se envían en texto sin formato o si Están encriptados de alguna manera. La barra de direcciones en el navegador se ve así

  

enlace

(observe el enlace ), pero ¿las solicitudes AJAX utilizadas por el chat también se envían a través de https?

Y como mi comprensión de https es un poco mala calidad, ¿qué significaría usar https para chatear en términos de cifrado? ¿Habría cifrado para los mensajes entrantes, mensajes salientes, o ambos (o ninguno)?

Básicamente, lo que tengo curiosidad es, ¿puede un intermediario (un enrutador, por ejemplo) leer alguno de los mensajes en el chat de Facebook?

Eché un vistazo con Wireshark y no pude ver ningún mensaje de texto sin formato. Todo lo relacionado con Facebook estaba pasando por TLS / SSL. Parece que, al menos en mi caso, todo estaba encriptado. Sin embargo, agradecería que alguien con más conocimientos lo confirme.

    
pregunta Novotny 12.09.2016 - 17:20
fuente

1 respuesta

1
  

Eché un vistazo con Wireshark y no pude ver ningún mensaje de texto sin formato. Todo lo relacionado con Facebook estaba pasando por TLS / SSL. Parece que, al menos en mi caso, todo estaba encriptado. Sin embargo, agradecería que alguien con más conocimientos lo confirme.

Eso sería exactamente lo que haría para comprobar si mi navegador está enviando mensajes de texto sin formato desde alguna aplicación web. Sin embargo, como se encuentra en una página que está conectada a través de HTTPS, la llamada AJAX debe realizarse a través de HTTPS gracias a la misma política de origen. Hay una pregunta antigua (pero aún real) sobre SO al respecto .

Si observa los comentarios sobre esa pregunta, también verá una referencia a la especificación CORS que argumenta lo siguiente sobre C ross S it R esource S haring:

  

los agentes de usuario pueden terminar el algoritmo y no realizar una solicitud. Esto se podría hacer porque, por ejemplo:

     

...

     
  • No se permite https a http .
  •   

Ahora, esta parte de tu pregunta es otra historia:

  

Y como mi comprensión de https es un poco mala calidad, ¿qué significaría usar https para chatear en términos de cifrado? ¿Habría cifrado para los mensajes entrantes, mensajes salientes, o ambos (o ninguno)?

Para la parte de cifrado, simplemente lo referiré a la pregunta SO relevante .

Para la parte "mala calidad" probablemente te refieras al (bastante) famoso ataque sslstrip de Moxie Marlinspike. Es un MITM que falsifica en su navegador con quien realmente está hablando, es un ataque que requiere que el atacante tenga el control de la red en la que se encuentra. HSTS se está implementando ampliamente en estos días (Facebook lo usa) por lo que sslstip se está convirtiendo en un problema menor. Y también tenemos una pregunta de referencia para sslstrip .

Referencias:

respondido por el grochmal 13.09.2016 - 00:43
fuente

Lea otras preguntas en las etiquetas