19:56
2/2/2011

Facebook włącza HTTPS dla Polaków

Facebook nareszcie zdecydował się na ruch, który znacząco podniesie bezpieczeństwo internautów — w ustawieniach kont pojawiła się opcja włączenia “bezpiecznych” połączeń HTTPS. Niestety, na polskich domenach serwisu pojawia się błąd logowania…

Facebook i HTTPS

Wymuszanie połączeń HTTPS (nie tylko na czas logowania) możecie włączyć w ustawieniach swoich kont
(Account -> Account Settings -> Account Security).

Facebook HTTPS

Facebook HTTPS

Dzięki włączeniu HTTPS, ataki przechwycenia sesji (np. przy pomocy narzędzia Firesheep) powinny być trudniejsze.

Facebook: to połączenie jest niezaufane!

Osoby logujące się do “polskiego” Facebooka spotka jednak przykra niespodzianka — certyfikat wykorzystywany przez serwis nie obejmuje jeszcze domeny pl-pl.facebook.com i oczom internautów ukazuje się następujący komunikat:

Facebook HTTPS

Facebook HTTPS - błąd logowania; to połączenie jest niezaufane

…dzięki któremu zauważyliśmy, że odwiedzają nas teraz setki osób po frazie: “błąd logowania facebook to połączenie jest niezaufane” — ciekawe ile z nich i tak klika “akceptuj, OK, dalej”, nie rozumiejąc sensu komunikatu… :-)

Przeczytaj także:

38 komentarzy

Dodaj komentarz
  1. Nie wszystkim to włączyli. U mnie nadal nie ma możliwości zaptaszkowania tej opcji :(

  2. To trochę dziwne, żeby tak wielki portal jak FB popełnił taki błąd przy certyfikacie.
    Albo zostawią jak jest, albo zrobili to tylko po to, by udowodnić jak to oni dbają o bezpieczeństwo użytkowników.

  3. Skoro Facebook tak się troszczy o bezpieczeństwo, to czemu w profilach użytkowników nie umieści informacji, że certyfikat nie obejmuje jeszcze domeny polskiej i osoby z niej korzystające nie powinny jeszcze używać szyfrowanego połączenia.

    Rozumiem, pewnie autorzy pomyśleli, że osoby chcące zalogować się, po zobaczeniu informacji o ostrzeżeniu nie klikną dalej. No, ale jednak twórcy Facebooka zapomnieli o najistotniejszej rzeczy. Otóż bardzo, bardzo wiele osób na świecie to idioci.

  4. Moim zdaniem logowanie powinno być wyłącznie przez HTTPS bez możliwości logowania przez HTTP.

  5. Paweł, logowanie jest tylko prez https. Tutaj chodzi o https dla ałego serwisu.

    (PS nie wszyscy w Polsce jeszcze dostali tę opcję)

  6. Ke ? Ja się zawsze logowałem i loguję przez HTTPS: https://www.facebook.com/
    Ja wiem, że jest masa ludzi dla których stanowi to problem, ale… bez przesady :P

  7. To w takim razie pytanie co jest mniejszym złem – logowanie zwykłe czy logowanie przez https które prawdopodobnie jest dobre ale z jakiegoś powodu brakuje tego certyfikatu.

  8. U mnie działa https, bez informacji o niezaufanym certyfikacie, linki są budowane na domenie http://www.facebook.com automatycznie :)

  9. przy okazji zauważyłem, że w ustawieniach konta można obejrzeć, gdzie się zostawiło ciasteczka z permanentnym loginem

  10. No to “internaty” będą bezpieczne :) taka fajna literówka :)

  11. Włączyli i co z tego? Po pierwsze nie wszystkim (u mnie oczywiście jeszcze nie ma), po drugie wciąż mają sporo do naprawienia (choćby czat po XMPP, który działa miernie)…

  12. @marcin
    No tak miałem na mysli możliwość poruszania się po fejsie jedynie przez HTTPS.

  13. Samo logowanie po HTTPS nie wystarczy. Jeśli dalsza część serwisu jest nieszyfrowana, ktoś może ci uprowadzić sesję. :-/

  14. Poza tym widzę, że SSL się wywraca przy domenie “pl-pl.facebook.com” a przy “www.facebook.com” działa. To tak wielkiego portalu społecznościowego nie stać na certyfikat wildcard???

  15. Uważacie, że HTTP jest bezpieczniejsze od niezaufanego HTTPS?

  16. Komunikat o niezaufanym połączeniu SSL oznacza, że może to być atak man-in-the-middle ?

    • L/\N|)O: raczej brak wildcarda, certyfikat facebook.com nie obejmuje pl-pl.facebook.com.

  17. Czyli jednak lepsze HTTP i błoga nieświadomość.

  18. A jak wejdę na stronkę banku i takie coś mi wyskoczy? To znaczy, że certyfikat się im skończył? I co mi daje certyfikat? Bo dużo stron z https nie ma go (wyskakuje informacja o niezaufanym połączeniu) – czy wtedy może się pojawić problem wymieniony przeze mnie wcześniej?

  19. Tak naprawdę, każdą przyczynę napotkanego błędu SSL należy zawsze zbadać i rozpatrzyć z osobna. Nie zawsze to oznacza, że ktoś chce nas okraść i wyłudzić pieniądze! Zdarzały mi się błędy SSL, ktorych przyczyną była… źle ustawiona data i godzina w systemie! :) Trzeba też zwracać uwagę na człon “www” w adresie. Typowa konfiguracja DNS traktuje “www” jako alias co przeważnie nie wpływa na rozwiązywanie nazwy. Jeśli jednak certyfikat nie jest wildcard a zapomnimy wpisać “www” tam gdzie trzeba było (lub napiszemy go ta gdzie nie trzeba), otrzymamy ostrzeżenie.

    • Marcin, część dostawców certyfikatów SSL w Polsce (por. Certum) dodaje za free do certyfikatów “www”, tak, żeby działało z i bez ;)

  20. Dziś jest konferencja w Wawie:

    http://facebooknow.pl/wydarzenia/rok-facebooka-w-polsce

    Może ktoś pójdzie i zwróci uwagę :]

  21. Po zalogowaniu przez HTTPS niedostępny jest komunikator, czyli i tak coś nie dziale jak powinno.

  22. Mnie tam wszystko działa. Już dawno oduczyłem się używać spolonizowanych zagranicznych serwisów. Jakoś naturalniej mi sie używa “obcego” serwisu w jego natywnym wydaniu. Dzięki temu omija się też sporo niedogodności jak te w/w.

  23. u mnie również takowej opcji nie ma. dobrze by było, gdyby włączyli szyfrowanie dla XMPP… a jakby go jeszcze otworzyli na inne serwery to byłby luksus.

  24. Ciekawe kiedy i czy wlacza to w Polsce, i ciekawe kiedy zrobia cos z czatem bo to wlaczanie sie/wylaczanie jest naprawde uciazliwe

  25. Ze stroną problemów nie ma (linki na facebook.com, wersja polska portalu). Za to zauważyłem, że wszystkie zewnętrzne ‘lajki’ i inne facebookowe widgety na stronach firm trzecich są zablokowane przez przeglądarkę :) (brak szyfrowania) Google Chrome.

  26. Szyfrowanie zewnętrznych ‘lajków’ można uruchomić używając np. HTTPS-Everywhere. Już od jakiegoś czasu korzystam z FB po polsku po HTTPS (z domeny http://www.facebook.com) i jedynym kłopotem był brak czata, chociaż od dzisiaj już działa (bynajmniej u mnie ;).

  27. Nie tylko w Polsce. Słyszałem conajmniej o dwóch krajach europejskich, w których ta opcja jest również dostępna.

  28. […] że Facebook od niedawna wspiera protokół HTTPS — włączenie HTTPS na swoim Facebookowym profilu uchroni Was przed atakami zarówno przy […]

  29. Nie mogę się zalogować po zmianie na https. jest możliwość powrotu do normalnego trybu?

  30. Ja również po zmianie na https nie mogę sie zalogowac, wyskakują błędy certifikatu mam dość! co z tym zrobic, nie mogę sie zalogować na facebook.com i facebook.pl ..

  31. Ja też nie mogę się zalogować na facebooka, wyskakuje mi bład certyfikatu :((((

  32. zamiast robic takie cos to niech te gole baby usuna co sie typy nimi podniecaja bo to przez to wirusy!!!!!!!!!!!!

  33. Witam. U mnie https dziala tylko przez modem, gdy wącze routera to automatycznie nie moge sie zalogować. nie wyswetla grafiki na facebooku.

  34. co mam zrobić jak nawet przez HTTP nie mogę włączyc facebooka?

  35. @Ewa: iść na imprezę ze znajomymi

  36. […] zauważyć, że podobny problem występujący na Twitterze i Facebooku usunięto już kilka lat temu, głównie za sprawą głośnego rozszerzenia FireSheep. Może pora na […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: