Los sitios web como Facebook visitados en los navegadores tienen la capacidad HSTS, que es una capa más de seguridad para TLS frente a algunos ataques.
¿Qué pasa, en particular, con la aplicación de Android de Facebook? ¿Tiene HSTS? Ya discutimos que esta aplicación y muchas más tienen al menos TLS.
En otro hilo, leí que para las aplicaciones HSTS no es importante.
¿La aplicación de Facebook usa HSTS para Android / iOS? No. No es necesario. HSTS es específico para indicar a los navegadores web como Chrome, Firefox, etc. que interactúen con su servicio web solo a través de HTTPS.
Una aplicación móvil tendrá HTTPS codificada en la propia aplicación, lo que la convierte en la única opción. Creo que Apple requiere esto para cualquier aplicación y para Android parece que también se están moviendo hacia HTTPS para las aplicaciones. Android HTTPS .
Si está desarrollando una aplicación usted mismo y desea que los usuarios solo usen HTTPS, simplemente llamará a los servicios de back-end utilizando solo HTTPS y lo codificará directamente en su aplicación, ya sea Android o iOS. Ejemplo: enlace
La razón por la que no se necesita HSTS en el entorno de la aplicación móvil es porque en el navegador web un usuario puede ir a una URL base como example.com a través de HTTP. El usuario tiene más control en un entorno de navegador web sobre cómo desea navegar a su sitio web. También al indexar y volver a enlazar a su sitio web, las personas pueden especificar qué protocolo HTTP o HTTPS al vincular a su sitio web. Por eso es que necesita HSTS en un entorno de navegador web para decirle al navegador, "solo hable conmigo en HTTPS incluso si alguien dice que quiere HTTP", pero en un entorno móvil, como desarrollador, usted es el único que puede especificar HTTPS en El código en su aplicación para interactuar con el servicio backend. Los usuarios no necesitan navegar manualmente a una url porque eso está todo codificado en la aplicación que Facebook o usted crearon. Los usuarios solo tienen que abrir la aplicación. Por lo tanto, como desarrollador, tiene más información sobre cómo la aplicación debe interactuar con su servicio web. Es su aplicación, su cliente, usted le dice qué hacer pero no creó Chrome o Firefox, es el cliente de otra persona, por lo que debe decirles a través de HSTS cómo debe interactuar con su servicio web.
HSTS puede evitar ataques de degradación de protocolo durante MITM. La mayoría de las aplicaciones móviles utilizan la fijación de certificados.