¿Por qué Facebook no usó HSTS durante mucho tiempo después de que estuvo disponible?

12

(Tenga en cuenta que Facebook ahora usa HSTS. La pregunta se hizo en un momento en que no lo hicieron).

Para forzar a un navegador a ir siempre directamente a HTTPS para un sitio web (y no confiar en 302 redirecciones desde la versión HTTP), HSTS ( HTTP Strict Transport Security )

Para indicar al navegador que siempre se debe visitar un sitio web utilizando HTTPS a, El encabezado 'Strict-Transport-Security' se puede enviar en la respuesta HTTP. A partir de ese momento, el sitio web existirá en la lista HSTS del navegador, y cuando alguien escriba el nombre del sitio (por ejemplo, example.com ) en la barra de URL, se enviará a https://example.com/ en lugar de a http://example.com .

Google, Gmail, Twitter y Paypal son ejemplos de los principales sitios web que utilizan esta funcionalidad. Sin embargo, Facebook no parece enviar un encabezado de 'Seguridad estricta de transporte' en sus respuestas. ¿Alguien puede darme una buena razón por la que hayan decidido no usar HSTS?

    
pregunta Michael 18.02.2014 - 16:11
fuente

3 respuestas

12

Editar: Facebook ahora usa HSTS, por lo que tanto la pregunta como la respuesta ahora son incorrectas.

Porque el uso de HTTPS para Facebook es opcional.

Si te fijas en "Configuración de la cuenta" y "Configuración de seguridad", hay una opción para "Exploración segura". Ha dejado de funcionar de forma predeterminada desde July 2013 pero todavía tienes la opción de desactivarlo.

Si utilizaban HSTS, cuando desactivabas la opción "Navegación segura", el sitio dejaría de funcionar, al menos, a menos que hicieran una solución bastante extraña.

No se me ocurre ninguna razón práctica para desactivar la navegación segura. Ciertamente cualquier razón tal sería rara. Creo que la opción es más por accidente histórico que por planificación activa.

    
respondido por el paj28 18.02.2014 - 16:46
fuente
11

Resumen: HSTS está llegando, pero el sitio tiene algunos obstáculos relacionados con la protección de la información del usuario, como no decirle a un sitio web quién es usted cuando hace clic en un enlace. Explicación de ese problema en particular: enlace

Firefox es la última retención importante. Aquí está el comentario 14 (15 de marzo de 2012) del error que se presentó en 2011: enlace

  

Para los usuarios de WebKit, Facebook planea implementar una política de "origen" en un futuro próximo. Esta política representa efectivamente cómo se comporta nuestro sitio hoy, pero sin confiar en el abuso del comportamiento del navegador existente. Antecedentes: enlace

     

La propuesta de meta-referencia proporciona dos beneficios inmediatos con respecto a los usuarios de Facebook:

     
  • Actualmente utilizamos document.location.replace () a través de un punto final intersticial para realizar redirecciones externas para los usuarios de Mozilla. La implementación de una redirección nativa en lugar de confiar en JavaScript ofrece una leve mejora en el rendimiento y permite que la redirección funcione con JavaScript desactivado.

  •   
  • Bajamos intencionalmente el intersticial de HTTPS a HTTP para enviar un encabezado de referencia. Esto es obviamente indeseable pero actualmente es necesario en nuestro contexto. El soporte para el meta-referente nos permite mantener una conexión segura y resuelve uno de los últimos problemas que bloquean la implementación de Strict-Transport-Security

  •   

Solo estoy lanzando un poco de apoyo detrás de la propuesta. Nos encantaría ver soporte en Firefox.

Comentario de seguimiento 79 (30 de enero de 2014), mismo error: enlace

  

Facebook ha estado pidiendo esto desde 2010, no estoy seguro de entender la repentina prisa.

     

Pequeña actualización al comentario # 14, este es ahora el último problema que queda al bloquear Strict-Transport-Security en facebook.com para los usuarios de Firefox (se ha habilitado para los usuarios de Chrome / Safari por algún tiempo). No diría que nos apresuramos, estamos felices de esperar su solución preferida, pero me encantaría ver que HSTS esté habilitado más temprano que tarde.

    
respondido por el Jeff Ferland 22.02.2014 - 06:21
fuente
4

Actualización de mayo de 2015 : Facebook ahora usa HSTS. Buen trabajo.

$ http -h get https://www.facebook.com
Strict-Transport-Security: max-age=15552000; preload

Vea también enlace

    
respondido por el Colonel Panic 21.05.2015 - 00:28
fuente

Lea otras preguntas en las etiquetas