Alle Facebook-gebruikers standaard via HTTPS
Facebook beschermt sinds gisteren alle gebruikers tegen afluisteren, aangezien al het verkeer met de sociale netwerksite voortaan standaard via HTTPS verloopt. De optie om HTTPS te gebruiken werd twee jaar geleden aangeboden. Gebruikers moesten echter zelf instellen dat ze Facebook via een beveiligde verbinding wilden bezoeken.
Na de introductie werd dit door meer dan een derde van de Facebookgebruikers ingesteld. Volgens software engineer Scott Renfro was het overschakelen naar HTTPS lastiger dan het op het eerste gezicht lijkt. "Het is niet alleen een kwestie van gebruikers doorsturen van http://www.facebook.com naar https://www.facebook.com."
Cookies
Zo moest een 'secure attribute' voor authenticatiecookies worden ingesteld. Standaard versturen browsers alle cookies, ook waar in staat vermeld dat de gebruiker is ingelogd, via een onbeveiligde request. Door middel van de secure attribute wordt dit via een HTTPS-verbinding gedaan. Daardoor zijn de cookies niet zichtbaar als een gebruiker een onbeveiligde link op Facebook bezoekt.
Een ander probleem was dat alle third-party platform-applicaties ook HTTPS moesten gebruiken. Ontwikkelaars van deze apps kregen 150 dagen de tijd om hun certificaten in orde te maken en hun applicatie naar HTTPS te upgraden.
Prestaties
Eén van de grootste uitdagingen bij het standaard inschakelen van HTTPS zijn de prestaties. Het vereist namelijk meer communicatie tussen de browser en Facebook-servers voor het opzetten van de verbinding. Zeker op locaties waar de verbinding al traag is, kan HTTPS voor een grote belasting zorgen. Facebook besloot in dit geval om de infrastructuur te upgraden en 'afgekorte handshakes' te gebruiken.
Hoewel HTTPS nu standaard staat ingeschakeld, is Facebook nog niet klaar. Zo wil de sociale netwerksite voor het einde van dit jaar op 2048-bit encryptiesleutels zijn overgestapt en cryptografie met behulp van elliptische krommen gaan gebruiken.
Pinning
Een andere toekomstig geplande verbetering is 'certificaat pinning'. Hierin wordt vastgelegd via welk Certificate Authority (CA) het SSL-certificaat van Facebook is uitgegeven. Als bijvoorbeeld een andere CA wordt gehackt en de aanvallers maken hier een Facebook SSL-certificaat aan, dan kunnen browsers dit herkennen.
Een andere optie die Facebook wil doorvoeren is HTTP Strict TransportSecurity (HSTS). Hierbij krijgen browser de instructie om alleen via HTTPS verbinding met de website te maken.
"Het standaard inschakelen van HTTPS is een droom die uitkomt", aldus Renfro. "We zijn echt blij met hoeveel van het Facebook-verkeer versleuteld is en kijken uit naar de toekomstige aanpassingen die we van plan zijn."
Een moeilijke manier om Perfect Forward Secrecy te zeggen?
Peter
Veel bedrijven hebben Facebook toegang geblokkeerd voor de medewerkers omdat ze niet willen dat die in werktijd
aan het spelen zijn met hun sociale netwerk.
Dat is Facebook natuurlijk een doorn in het oog. Dus wat heeft men gedaan? Gelobby'd bij allerlei aanbieders van
diensten die nog net wel als bedrijfsmatig kunnen worden gezien, en daar "login via facebook account" gepushed.
Vaak zodanig dat als je dit eenmaal aanzet, je het niet meer kunt uitzetten (dus je kunt niet meer terug naar een
locale login).
Facebook is "zo slim" geweest om het login mechanisme gewoon via https://www.facebook.com/ te laten lopen,
dus niet een aparte service met eigen domeinnaam daarvoor te maken.
Doordat nu alles encrypted is betekent dit dat gebruikers niet meer kunnen inloggen op die diensten als Facebook
geblokkeerd is, omdat immers (tenzij je lelijke dingen doet) niet gechecked kan worden of iemand alleen maar
inlogt via zijn facebook account, of dat hij aan het spelen is.
Bedrijven worden daardoor haast "gedwongen" om Facebook vrij te geven voor de medewerkers -> KASSA voor
Facebook. En daarom zijn ze zo blij. Niet zozeer omdat het veiliger geworden is ofzo.
http://www.bluecoat.com/products/proxysg
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.