Facebook inför HTTP Strict Transport Security (HSTS)

Facebook meddelade för några dagar sedan via deras sida Protect the Graph att de nu inför HTTP Strict Transport Security (HSTS) med preloading.

❤ Snälla! Ditt stöd är viktigt – Bli månadsgivare via Patreon >

Gör jag en anslutning med hjälp av curl och argumentet -I så bör nuvarande https-headers se ut ungefär enligt följande:

HSTS är en säkerhetshöjande teknik som berättar för webbläsaren att sajten som du går till enbart återfinnes över https samt hur länge (max-age). Och Facebook har satt max-age till 15552000 sekunder vilket är 180 dagar. Och för att citera Mozilla web security guidelines:

max-age must be set to a minimum of six months (15768000), but longer periods such as two years (63072000) are recommended. Note that once this value is set, the site must continue to support HTTPS until the expiry time has been reached.

Preload innebär att domänen listas direkt i webbläsaren och behöver således inte förlita sig på någon kommunikation till sajten först för att läsa ut https-headern, och gör kommunikationen säkrare. För den som vill se hela listan med preloadade-sajter som följer med Google Chrome kan se den här eller här. Vad jag också kan observera är att de ej inkluderar direktivet includeSubdomains vilket kan öppna upp för attacker.

Och tittar vi hur stödet för HSTS ser ut i webbläsare så gäller följande:

Webbläsare Stöd inkluderades från version
Internet Explorer Internet Explorer 11 on Windows 8.1 and Windows 7[2]
Firefox 4
Opera 12
Safari Mavericks (Mac OS X 10.9)
Chrome 4.0.211.0

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.