Resumen: HSTS está llegando, pero el sitio tiene algunos obstáculos relacionados con la protección de la información del usuario, como no decirle a un sitio web quién es usted cuando hace clic en un enlace. Explicación de ese problema en particular: enlace
Firefox es la última retención importante. Aquí está el comentario 14 (15 de marzo de 2012) del error que se presentó en 2011: enlace
Para los usuarios de WebKit, Facebook planea implementar una política de "origen" en un futuro próximo. Esta política representa efectivamente cómo se comporta nuestro sitio hoy, pero sin confiar en el abuso del comportamiento del navegador existente. Antecedentes: enlace
La propuesta de meta-referencia proporciona dos beneficios inmediatos con respecto a los usuarios de Facebook:
-
Actualmente utilizamos document.location.replace () a través de un punto final intersticial para realizar redirecciones externas para los usuarios de Mozilla. La implementación de una redirección nativa en lugar de confiar en JavaScript ofrece una leve mejora en el rendimiento y permite que la redirección funcione con JavaScript desactivado.
-
Bajamos intencionalmente el intersticial de HTTPS a HTTP para enviar un encabezado de referencia. Esto es obviamente indeseable pero actualmente es necesario en nuestro contexto. El soporte para el meta-referente nos permite mantener una conexión segura y resuelve uno de los últimos problemas que bloquean la implementación de Strict-Transport-Security
Solo estoy lanzando un poco de apoyo detrás de la propuesta. Nos encantaría ver soporte en Firefox.
Comentario de seguimiento 79 (30 de enero de 2014), mismo error: enlace
Facebook ha estado pidiendo esto desde 2010, no estoy seguro de entender la repentina prisa.
Pequeña actualización al comentario # 14, este es ahora el último problema que queda al bloquear Strict-Transport-Security en facebook.com para los usuarios de Firefox (se ha habilitado para los usuarios de Chrome / Safari por algún tiempo). No diría que nos apresuramos, estamos felices de esperar su solución preferida, pero me encantaría ver que HSTS esté habilitado más temprano que tarde.