¿Por qué Facebook no usó HSTS durante mucho tiempo después de que estuvo disponible?

Editar: Facebook ahora usa HSTS, por lo que tanto la pregunta como la respuesta ahora son incorrectas.

Porque el uso de HTTPS para Facebook es opcional.

Si te fijas en "Configuración de la cuenta" y "Configuración de seguridad", hay una opción para "Exploración segura". Ha dejado de funcionar de forma predeterminada desde July 2013 pero todavía tienes la opción de desactivarlo.

Si utilizaban HSTS, cuando desactivabas la opción "Navegación segura", el sitio dejaría de funcionar, al menos, a menos que hicieran una solución bastante extraña.

No se me ocurre ninguna razón práctica para desactivar la navegación segura. Ciertamente cualquier razón tal sería rara. Creo que la opción es más por accidente histórico que por planificación activa.

Resumen: HSTS está llegando, pero el sitio tiene algunos obstáculos relacionados con la protección de la información del usuario, como no decirle a un sitio web quién es usted cuando hace clic en un enlace. Explicación de ese problema en particular: enlace

Firefox es la última retención importante. Aquí está el comentario 14 (15 de marzo de 2012) del error que se presentó en 2011: enlace

  

Para los usuarios de WebKit, Facebook planea implementar una política de "origen" en un futuro próximo. Esta política representa efectivamente cómo se comporta nuestro sitio hoy, pero sin confiar en el abuso del comportamiento del navegador existente. Antecedentes: enlace

     

La propuesta de meta-referencia proporciona dos beneficios inmediatos con respecto a los usuarios de Facebook:

     

• Actualmente utilizamos document.location.replace () a través de un punto final intersticial para realizar redirecciones externas para los usuarios de Mozilla. La implementación de una redirección nativa en lugar de confiar en JavaScript ofrece una leve mejora en el rendimiento y permite que la redirección funcione con JavaScript desactivado.

  

• Bajamos intencionalmente el intersticial de HTTPS a HTTP para enviar un encabezado de referencia. Esto es obviamente indeseable pero actualmente es necesario en nuestro contexto. El soporte para el meta-referente nos permite mantener una conexión segura y resuelve uno de los últimos problemas que bloquean la implementación de Strict-Transport-Security

  

Solo estoy lanzando un poco de apoyo detrás de la propuesta. Nos encantaría ver soporte en Firefox.

Comentario de seguimiento 79 (30 de enero de 2014), mismo error: enlace

  

Facebook ha estado pidiendo esto desde 2010, no estoy seguro de entender la repentina prisa.

     

Pequeña actualización al comentario # 14, este es ahora el último problema que queda al bloquear Strict-Transport-Security en facebook.com para los usuarios de Firefox (se ha habilitado para los usuarios de Chrome / Safari por algún tiempo). No diría que nos apresuramos, estamos felices de esperar su solución preferida, pero me encantaría ver que HSTS esté habilitado más temprano que tarde.

Actualización de mayo de 2015 : Facebook ahora usa HSTS. Buen trabajo.

$ http -h get https://www.facebook.com
Strict-Transport-Security: max-age=15552000; preload

Vea también enlace