Facebook laat links automatisch naar https-versie wijzen

[Captain Kirk]

Facebook heeft een beveiligingsmaatregel geïmplementeerd die ervoor zorgt dat links altijd naar de https-versie wijzen als die beschikbaar is, zo heeft de sociale netwerksite vandaag bekendgemaakt. Hiervoor wordt gebruik gemaakt van HSTS, wat staat voor HTTP Strict Transport Security.

Het zorgt ervoor dat websites die via https te bezoeken zijn alleen via https worden bezocht, ook al wordt er door de gebruiker http in de adresbalk ingevoerd of op een http-link geklikt. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in https. Zodoende wordt er geen informatie over het onbeveiligde http verstuurd, dat bijvoorbeeld door een aanvaller kan worden onderschept of gemanipuleerd. Dit moet de veiligheid van gebruikers vergroten, aldus Facebook.

Om te bepalen of er van een link op Facebook.com een https-versie beschikbaar is wordt er gebruik gemaakt van twee bronnen. Als eerste is er de Chromium-preloadlist, die in deze meeste browsers wordt gebruikt. Via deze lijst wordt bijgehouden welke websites over https moeten worden bezocht. Daarnaast verzamelt Facebook de HSTS-headers van websites die op Facebook worden gedeeld. Via deze header kunnen websites aangegeven dat ze bij het volgende bezoek via https moet worden bezocht. Door beide bronnen te combineren hoopt Facebook dat mensen veiliger en sneller kunnen browsen. Daarnaast doet de sociale netwerksite een oproep aan websites om HSTS in te schakelen.

 

 

bron: security.nl