Tutti più sicuri su Facebook

Il famoso social network abilita di default il protocollo HTTPS per una navigazione sicura.

Avatar di Redazione - Sicurezza

a cura di Redazione - Sicurezza

Facebook ha attivato di default una funzione di sicurezza che codifica i dati inviati dagli utenti ai server della società, seguendo le orme di molti altri siti web famosi come Google e Twitter. Già due anni fa, in realtà, il sito di social networking ha dato agli utenti la possibilità di utilizzare la crittografia TLS (Transport Layer Security) durante la navigazione, ma non era stata impostata di default a causa di una serie di problemi che hanno avuto bisogno di parecchio tempo per esser risolti, ha scritto Scott Renfro, un Software Engineer del team Infrastructure Security di Facebook a Londra. Uno di questi era la latenza. Le impostazione di una sessione TLS comportano uno scambio di dati che potrebbe arrivare fino 600 millisecondi di attesa per una persona che vive a Jakarta contro appena 40ms per utente che vive Vancouver. Di conseguenza, Facebook ha dovuto sviluppare una serie di tecniche per far si che lo scambio di dati richiedesse meno tempo, altrimenti la navigazione sarebbe stata impossibile. 

Comunicazioni sotto chiave per il social network più famoso del Pianeta. Si potrebbe dire che era anche ora, ma che il codice dietro a Facebook non fosse esattamente lo stato dell'arte dell'ottimizzazione si sapeva...

Inoltre, Facebook ha dovuto anche aspettare che gli sviluppatori di applicazioni di terze parti aggiornassero le loro piattaforme, visto che la maggior parte dei browser web non saranno in grado di fare il rendering del contenuto che non utilizza TLS come parte di una pagina Web. "Per inserire applicazioni di terze parti all'interno di “iframe”, abbiamo bisogno che tutte le applicazioni della piattaforma siano aggiornate a supportare HTTPS," ha scritto Renfro. "Questo cambiamento è stato previsto in 90 giorni per le applicazioni della piattaforma, ma in in realtà abbiamo dato agli sviluppatori 150 giorni per ottenere un certificato e aggiornare il tutto."

Sempre secondo Renfro, ci sono comunque ancora dei problemi di compatibilità, soprattutto con TLS e la navigazione tramite alcuni telefoni cellulari. Facebook applicherà https sui browser e telefoni compatibili, ma permetterà comunque “connessioni meno sicure” con alcuni dispositivi. La maggior parte dei problemi riguardano i “feature phone”, specifica Renfro. "Mentre stiamo lavorando con i fornitori di questi prodotti per risolvere la situazione, non volevamo impedire agli utenti che li usano di accedere al network," ha scritto Renfro. "Di conseguenza, abbiamo solo fatto un downgrade per i dispositivi non compatibili, pur continuando a utilizzare https su browser e telefoni dove è supportato correttamente." Il lavoro non è finito. Facebook utilizza chiavi RSA a 1048 bit, ma prevede di seguire lo standard del settore e passare a chiavi a 2048 bit alla fine di quest'anno per passare, in futuro, utilizzerà un tipo di crittografia di tipo Perfect Forward Secrecy, un sistema che usa una chiave privata di breve durata per ogni sessione TLS, eliminando il rischio che i dati possano essere decifrati anche anni dopo, se una di queste chiavi viene compromessa.