Facebook inför HTTP Strict Transport Security (HSTS)

Facebook meddelade för några dagar sedan via deras sida Protect the Graph att de nu inför HTTP Strict Transport Security (HSTS) med preloading.

❤ Snälla! Ditt stöd är viktigt – Bli månadsgivare via Patreon >

Gör jag en anslutning med hjälp av curl och argumentet -I så bör nuvarande https-headers se ut ungefär enligt följande:

HSTS är en säkerhetshöjande teknik som berättar för webbläsaren att sajten som du går till enbart återfinnes över https samt hur länge (max-age). Och Facebook har satt max-age till 15552000 sekunder vilket är 180 dagar. Och för att citera Mozilla web security guidelines:

max-age must be set to a minimum of six months (15768000), but longer periods such as two years (63072000) are recommended. Note that once this value is set, the site must continue to support HTTPS until the expiry time has been reached.

Preload innebär att domänen listas direkt i webbläsaren och behöver således inte förlita sig på någon kommunikation till sajten först för att läsa ut https-headern, och gör kommunikationen säkrare. För den som vill se hela listan med preloadade-sajter som följer med Google Chrome kan se den här eller här. Vad jag också kan observera är att de ej inkluderar direktivet includeSubdomains vilket kan öppna upp för attacker.

Och tittar vi hur stödet för HSTS ser ut i webbläsare så gäller följande:

Webbläsare Stöd inkluderades från version
Internet Explorer Internet Explorer 11 on Windows 8.1 and Windows 7[2]
Firefox 4
Opera 12
Safari Mavericks (Mac OS X 10.9)
Chrome 4.0.211.0

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta experter inom cybersäkerhet med över 20 års erfarenhet. Frågor? Kontakta mig på: [email protected] eller LinkedIn Twitter

Skriv en kommentar