Nieuws

Alle Facebook-gebruikers standaard via HTTPS

donderdag 1 augustus 2013, 14:50 door Redactie, 4 reacties

Facebook beschermt sinds gisteren alle gebruikers tegen afluisteren, aangezien al het verkeer met de sociale netwerksite voortaan standaard via HTTPS verloopt. De optie om HTTPS te gebruiken werd twee jaar geleden aangeboden. Gebruikers moesten echter zelf instellen dat ze Facebook via een beveiligde verbinding wilden bezoeken.

Na de introductie werd dit door meer dan een derde van de Facebookgebruikers ingesteld. Volgens software engineer Scott Renfro was het overschakelen naar HTTPS lastiger dan het op het eerste gezicht lijkt. "Het is niet alleen een kwestie van gebruikers doorsturen van http://www.facebook.com naar https://www.facebook.com."

Cookies
Zo moest een 'secure attribute' voor authenticatiecookies worden ingesteld. Standaard versturen browsers alle cookies, ook waar in staat vermeld dat de gebruiker is ingelogd, via een onbeveiligde request. Door middel van de secure attribute wordt dit via een HTTPS-verbinding gedaan. Daardoor zijn de cookies niet zichtbaar als een gebruiker een onbeveiligde link op Facebook bezoekt.

Een ander probleem was dat alle third-party platform-applicaties ook HTTPS moesten gebruiken. Ontwikkelaars van deze apps kregen 150 dagen de tijd om hun certificaten in orde te maken en hun applicatie naar HTTPS te upgraden.

Prestaties
Eén van de grootste uitdagingen bij het standaard inschakelen van HTTPS zijn de prestaties. Het vereist namelijk meer communicatie tussen de browser en Facebook-servers voor het opzetten van de verbinding. Zeker op locaties waar de verbinding al traag is, kan HTTPS voor een grote belasting zorgen. Facebook besloot in dit geval om de infrastructuur te upgraden en 'afgekorte handshakes' te gebruiken.

Hoewel HTTPS nu standaard staat ingeschakeld, is Facebook nog niet klaar. Zo wil de sociale netwerksite voor het einde van dit jaar op 2048-bit encryptiesleutels zijn overgestapt en cryptografie met behulp van elliptische krommen gaan gebruiken.

Pinning
Een andere toekomstig geplande verbetering is 'certificaat pinning'. Hierin wordt vastgelegd via welk Certificate Authority (CA) het SSL-certificaat van Facebook is uitgegeven. Als bijvoorbeeld een andere CA wordt gehackt en de aanvallers maken hier een Facebook SSL-certificaat aan, dan kunnen browsers dit herkennen.

Een andere optie die Facebook wil doorvoeren is HTTP Strict TransportSecurity (HSTS). Hierbij krijgen browser de instructie om alleen via HTTPS verbinding met de website te maken.

"Het standaard inschakelen van HTTPS is een droom die uitkomt", aldus Renfro. "We zijn echt blij met hoeveel van het Facebook-verkeer versleuteld is en kijken uit naar de toekomstige aanpassingen die we van plan zijn."

Phishingaanvallen op laagste punt sinds 2011

Man krijgt 5 jaar cel wegens kinderporno op werkstation

Reacties (4)

01-08-2013, 15:45 door Anoniem

cryptografie met behulp van elliptische krommen gaan gebruiken.

Een moeilijke manier om Perfect Forward Secrecy te zeggen?

Peter

01-08-2013, 16:32 door Anoniem

Ze zijn hier vooral zo blij mee omdat ze daarmee een voet tussen de deur zetten bij bedrijven.
Veel bedrijven hebben Facebook toegang geblokkeerd voor de medewerkers omdat ze niet willen dat die in werktijd
aan het spelen zijn met hun sociale netwerk.
Dat is Facebook natuurlijk een doorn in het oog. Dus wat heeft men gedaan? Gelobby'd bij allerlei aanbieders van
diensten die nog net wel als bedrijfsmatig kunnen worden gezien, en daar "login via facebook account" gepushed.
Vaak zodanig dat als je dit eenmaal aanzet, je het niet meer kunt uitzetten (dus je kunt niet meer terug naar een
locale login).
Facebook is "zo slim" geweest om het login mechanisme gewoon via https://www.facebook.com/ te laten lopen,
dus niet een aparte service met eigen domeinnaam daarvoor te maken.
Doordat nu alles encrypted is betekent dit dat gebruikers niet meer kunnen inloggen op die diensten als Facebook
geblokkeerd is, omdat immers (tenzij je lelijke dingen doet) niet gechecked kan worden of iemand alleen maar
inlogt via zijn facebook account, of dat hij aan het spelen is.
Bedrijven worden daardoor haast "gedwongen" om Facebook vrij te geven voor de medewerkers -> KASSA voor
Facebook. En daarom zijn ze zo blij. Niet zozeer omdat het veiliger geworden is ofzo.

01-08-2013, 18:03 door Anoniem

Geweldig. Extra blingbling sloten op de voordeur en ondertussen zijn er partijen met een eigen ingang. Het beste is: niet gebruiken.

02-08-2013, 09:03 door yobi

Ach ja:
http://www.bluecoat.com/products/proxysg

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer