Monday, February 28, 2011

HTTPS in Facebook, For Mobile

Bulan lalu , Facebook mulai menawarkan kemampuan bagi pengguna untuk mengaktifkan HTTPS (Hypertext Transfer Protocol Secure) untuk mengenkripsi semua komunikasi dengan situs. Namun, F-Secure dan lain-lain telah memperhatikan bahwa beberapa aplikasi mengharuskan pengguna untuk beralih ke koneksi HTTP biasa untuk menggunakan aplikasi, tetapi tidak memperingatkan pengguna bahwa saklar kemudian menjadi permanen.

Perwakilan Facebook mengatakan perusahaan sedang bekerja untuk membuatnya sehingga beralih ke komunikasi terenkripsi hanya bersifat sementara dan bahwa Facebook mendorong pengembang untuk menulis aplikasi yang mendukung HTTPS.

"Kami mendorong pihak ketiga kami pengembang untuk mulai mendukung HTTPS sesegera mungkin. Kami telah menyediakan cara mudah bagi pengembang pihak ketiga untuk mendorong untuk melakukan hal ini, dan kami berharap untuk transisi ke HTTPS sepenuhnya segera," yang mengatakan dalam sebuah e-mail. "Namun, kami mengakui bahwa ada saat ini terlalu banyak gesekan dalam proses ini dan kami literasi pada arus sehingga pengaturan hanya akan sementara dinonaktifkan untuk sesi tersebut. Akun ini kemudian akan kembali ke HTTPS pada log masuk Kami . Berikutnya sedang menguji aliran ini sekarang dan berharap untuk memulai itu dalam waktu dekat. "

Seorang profesor ilmu komputer di Rice University menunjukkan bahwa ia Motorola Droid X menjalankan Android bisa menguping dengan sniffing software yang benar. Dan Wallach menjalankan protokol jaringan Wireshark analyzer dan proxy Mallory di kelas keamanan sarjana beberapa hari yang lalu. Ia menemukan bahwa agar mengirimkan data (kecuali log-in kredensial) di jelas, meskipun ia telah di account Facebook diatur untuk menggunakan HTTPS bila memungkinkan, ia menulis di Kebebasan untuk Tinker blog.

Perwakilan Facebook mengatakan perusahaan sedang bekerja untuk memberikan Secure Socket Layer (digunakan untuk HTTPS) pada platform mobile dalam beberapa bulan mendatang.

"Setelah peluncuran SSL untuk situs tersebut, kita masih menguji di semua platform Facebook, dan berharap untuk memberikan itu sebagai pilihan bagi pengguna ponsel dalam beberapa bulan mendatang," dalam sebuah pernyataan. "Seperti biasa, kami sarankan masyarakat untuk berhati-hati saat mengirim atau menerima informasi melalui jaringan Wi-Fi yang tidak aman."

Wallach juga menemukan bahwa lalu lintas Kalender Google tidak dienkripsi. Sebagai tanggapan, perwakilan Google mengatakan, "Kami berencana untuk mulai mengenkripsi lalu lintas ke Kalender Google Android dalam rilis pemeliharaan masa depan Bila mungkin, kami sarankan untuk menggunakan jaringan Wi-Fi dienkripsi.."

No comments: