Facebook a veces elimina SSL. ¿Por qué?

9

Observé que a veces mi conexión de facebook https cambia a http después de usar el sitio por un tiempo. ¿Es posible que un ISP o alguien en el medio haga tal cosa acelerando la velocidad de la red? O, ¿cómo tal cosa es posible? Pensé que Facebook, como Google, siempre es https . Además, esto sucedió cuando instalé el complemento https everywhere para mozilla.

    
pregunta technic 28.08.2014 - 10:08
fuente

5 respuestas

3

No todas las aplicaciones en Facebook son compatibles con HTTPS, por lo que si está jugando juegos en Facebook o está utilizando aplicaciones de terceros, recibirá una notificación de que solo se puede acceder a estas aplicaciones a través de HTTP. Cuando continúe, su conexión se degradará a HTTP.

    
respondido por el dadigi 15.10.2014 - 00:34
fuente
1

Facebook utiliza HTTP Strict Transport Security (HSTS) (consulte la captura de pantalla a continuación). Simplemente significa que su navegador nunca establecerá una conexión HTTP a Facebook, incluso si alguien está intentando degradar su conexión a HTTP. La mayoría de los navegadores (Chrome, Firefox, IE) ahora son compatibles con esta función. La advertencia es que la primera vez que necesita hacer una conexión "segura" a Facebook. De esta manera, el navegador verá HSTS y recuerde, durante el número de segundos dado, que solo se debe contactar con el dominio actual a través de HTTPS. El encabezado de HSTS de Facebook indica al navegador que use la conexión HTTPS durante 180 días.

Alternativamente,siusaChrome,tieneuna lista precargada del sitio web de HSTS . Esto significa que su navegador realizará una conexión HTTPS a estos sitios web listos para usar. Por lo tanto, el navegador no necesita esperar el encabezado HSTS. Al momento de escribir, la lista incluye todos los subdominios de Facebook.

Así que volviendo a tu pregunta, puedo pensar en algunas posibilidades:

  1. Está utilizando una versión de navegador que no tiene soporte para HSTS.
  2. Su navegador no ha visto ni recordado HSTS.
  3. Cada vez que visita Facebook, limpia todo su caché local, por lo tanto, su navegador nunca recordará usar siempre HSTS.
  4. Estás utilizando una aplicación de Facebook que no forma parte del dominio de Facebook y no tiene HSTS.
  5. Infección de malware que interfiere con las conexiones de Facebook.

Para validar esto, obtenga una versión más reciente de Chrome e intente acceder a Facebook. Si el problema persiste, haga lo mismo con otra computadora. Esto puede darte una pista de lo que es más probable.

Editar 1 : Firefox también admite lista de HSTS precargada

    
respondido por el Dr. mattle 30.09.2015 - 01:19
fuente
0

Podría ser un poco de cosas pero ... la regulación está relacionada con la velocidad, no con el protocolo.

Se indica que instaló algo y comenzó, ¿intentó apagarlo (el complemento) y volver a encenderlo?

Debes tomar nota de que esto podría ser parte de un MITM (man-in-the-middle), alguien que está escuchando. Si pasar a HTTP también activa la solicitud de renovación o reingreso de su contraseña, debe detener e investigar.

Sin embargo, lo más probable es que haya un error en el complemento que instaló o un conflicto con otro complemento.

    
respondido por el Saint Crusty 19.09.2014 - 16:51
fuente
-1

La velocidad de la red no tiene relación con esto. Como mencionó el santo, es probable que sea un complemento.

Desde una perspectiva de ataque, esto sería posible haciendo "SSL Stripping" durante MiTM. SSL Stripping es el principio de MiTM que dice "cambiar todos los enlaces HTTPS a HTTP". Hubo una charla interesante sobre esto ( haga clic aquí para verlo ).

En la presentación, la oradora, Moxie Marlinspike, demostró que SSL Stripping era efectivo incluso en Google. Desde la charla, creo que Google ha incrementado su seguridad para que solo esté disponible mediante SSL; sin embargo, eso solo demuestra que en algún momento incluso Google fue susceptible a este tipo de ataque.

Editar: Veo otros dos comentarios en su pregunta mencionada SSL Strip. Es bastante interesante y amp; vector de ataque efectivo para MiTM.

    
respondido por el Spencer Doak 20.09.2014 - 22:58
fuente
-1

Es probable que este software de terceros deshabilite TLS sobre HTTP (HTTPS). Realmente no hay una buena razón para degradar una conexión a HTTP desde HTTPS. De hecho, comenzar una nueva sesión es la parte más pesada.

En lugar de revisar las extensiones y aplicaciones del navegador, instala un complemento como Force-TLS o HTTPS: en todas partes lo forzará a conectarse a través de HTTPS en lugar de HTTP cuando pueda. Esto debería resolver su problema.

    
respondido por el theCowardlyFrench 26.09.2014 - 23:42
fuente

Lea otras preguntas en las etiquetas