Facebook włącza HTTPS dla Polaków

Facebook nareszcie zdecydował się na ruch, który znacząco podniesie bezpieczeństwo internautów — w ustawieniach kont pojawiła się opcja włączenia “bezpiecznych” połączeń HTTPS. Niestety, na polskich domenach serwisu pojawia się błąd logowania…

Facebook i HTTPS

Wymuszanie połączeń HTTPS (nie tylko na czas logowania) możecie włączyć w ustawieniach swoich kont
(Account -> Account Settings -> Account Security).

Facebook HTTPS

Facebook HTTPS

Dzięki włączeniu HTTPS, ataki przechwycenia sesji (np. przy pomocy narzędzia Firesheep) powinny być trudniejsze.

Facebook: to połączenie jest niezaufane!

Osoby logujące się do “polskiego” Facebooka spotka jednak przykra niespodzianka — certyfikat wykorzystywany przez serwis nie obejmuje jeszcze domeny pl-pl.facebook.com i oczom internautów ukazuje się następujący komunikat:

Facebook HTTPS

Facebook HTTPS - błąd logowania; to połączenie jest niezaufane

…dzięki któremu zauważyliśmy, że odwiedzają nas teraz setki osób po frazie: “błąd logowania facebook to połączenie jest niezaufane” — ciekawe ile z nich i tak klika “akceptuj, OK, dalej”, nie rozumiejąc sensu komunikatu… :-)

Przeczytaj także:

Komentarze 38

  • Nie wszystkim to włączyli. U mnie nadal nie ma możliwości zaptaszkowania tej opcji :(

  • To trochę dziwne, żeby tak wielki portal jak FB popełnił taki błąd przy certyfikacie.
    Albo zostawią jak jest, albo zrobili to tylko po to, by udowodnić jak to oni dbają o bezpieczeństwo użytkowników.

  • Skoro Facebook tak się troszczy o bezpieczeństwo, to czemu w profilach użytkowników nie umieści informacji, że certyfikat nie obejmuje jeszcze domeny polskiej i osoby z niej korzystające nie powinny jeszcze używać szyfrowanego połączenia.

    Rozumiem, pewnie autorzy pomyśleli, że osoby chcące zalogować się, po zobaczeniu informacji o ostrzeżeniu nie klikną dalej. No, ale jednak twórcy Facebooka zapomnieli o najistotniejszej rzeczy. Otóż bardzo, bardzo wiele osób na świecie to idioci.

  • Moim zdaniem logowanie powinno być wyłącznie przez HTTPS bez możliwości logowania przez HTTP.

  • Paweł, logowanie jest tylko prez https. Tutaj chodzi o https dla ałego serwisu.

    (PS nie wszyscy w Polsce jeszcze dostali tę opcję)

  • Ke ? Ja się zawsze logowałem i loguję przez HTTPS: https://www.facebook.com/
    Ja wiem, że jest masa ludzi dla których stanowi to problem, ale… bez przesady :P

  • To w takim razie pytanie co jest mniejszym złem – logowanie zwykłe czy logowanie przez https które prawdopodobnie jest dobre ale z jakiegoś powodu brakuje tego certyfikatu.

  • U mnie działa https, bez informacji o niezaufanym certyfikacie, linki są budowane na domenie http://www.facebook.com automatycznie :)

  • przy okazji zauważyłem, że w ustawieniach konta można obejrzeć, gdzie się zostawiło ciasteczka z permanentnym loginem

  • No to “internaty” będą bezpieczne :) taka fajna literówka :)

  • Włączyli i co z tego? Po pierwsze nie wszystkim (u mnie oczywiście jeszcze nie ma), po drugie wciąż mają sporo do naprawienia (choćby czat po XMPP, który działa miernie)…

  • @marcin
    No tak miałem na mysli możliwość poruszania się po fejsie jedynie przez HTTPS.

  • Samo logowanie po HTTPS nie wystarczy. Jeśli dalsza część serwisu jest nieszyfrowana, ktoś może ci uprowadzić sesję. :-/

  • Poza tym widzę, że SSL się wywraca przy domenie “pl-pl.facebook.com” a przy “www.facebook.com” działa. To tak wielkiego portalu społecznościowego nie stać na certyfikat wildcard???

  • Uważacie, że HTTP jest bezpieczniejsze od niezaufanego HTTPS?

  • Komunikat o niezaufanym połączeniu SSL oznacza, że może to być atak man-in-the-middle ?

    • L/\N|)O: raczej brak wildcarda, certyfikat facebook.com nie obejmuje pl-pl.facebook.com.

  • Czyli jednak lepsze HTTP i błoga nieświadomość.

  • A jak wejdę na stronkę banku i takie coś mi wyskoczy? To znaczy, że certyfikat się im skończył? I co mi daje certyfikat? Bo dużo stron z https nie ma go (wyskakuje informacja o niezaufanym połączeniu) – czy wtedy może się pojawić problem wymieniony przeze mnie wcześniej?

  • Tak naprawdę, każdą przyczynę napotkanego błędu SSL należy zawsze zbadać i rozpatrzyć z osobna. Nie zawsze to oznacza, że ktoś chce nas okraść i wyłudzić pieniądze! Zdarzały mi się błędy SSL, ktorych przyczyną była… źle ustawiona data i godzina w systemie! :) Trzeba też zwracać uwagę na człon “www” w adresie. Typowa konfiguracja DNS traktuje “www” jako alias co przeważnie nie wpływa na rozwiązywanie nazwy. Jeśli jednak certyfikat nie jest wildcard a zapomnimy wpisać “www” tam gdzie trzeba było (lub napiszemy go ta gdzie nie trzeba), otrzymamy ostrzeżenie.

    • Marcin, część dostawców certyfikatów SSL w Polsce (por. Certum) dodaje za free do certyfikatów “www”, tak, żeby działało z i bez ;)

  • Po zalogowaniu przez HTTPS niedostępny jest komunikator, czyli i tak coś nie dziale jak powinno.

  • Mnie tam wszystko działa. Już dawno oduczyłem się używać spolonizowanych zagranicznych serwisów. Jakoś naturalniej mi sie używa “obcego” serwisu w jego natywnym wydaniu. Dzięki temu omija się też sporo niedogodności jak te w/w.

  • u mnie również takowej opcji nie ma. dobrze by było, gdyby włączyli szyfrowanie dla XMPP… a jakby go jeszcze otworzyli na inne serwery to byłby luksus.

  • Ciekawe kiedy i czy wlacza to w Polsce, i ciekawe kiedy zrobia cos z czatem bo to wlaczanie sie/wylaczanie jest naprawde uciazliwe

  • Ze stroną problemów nie ma (linki na facebook.com, wersja polska portalu). Za to zauważyłem, że wszystkie zewnętrzne ‘lajki’ i inne facebookowe widgety na stronach firm trzecich są zablokowane przez przeglądarkę :) (brak szyfrowania) Google Chrome.

  • Szyfrowanie zewnętrznych ‘lajków’ można uruchomić używając np. HTTPS-Everywhere. Już od jakiegoś czasu korzystam z FB po polsku po HTTPS (z domeny http://www.facebook.com) i jedynym kłopotem był brak czata, chociaż od dzisiaj już działa (bynajmniej u mnie ;).

  • Nie tylko w Polsce. Słyszałem conajmniej o dwóch krajach europejskich, w których ta opcja jest również dostępna.

  • Nie mogę się zalogować po zmianie na https. jest możliwość powrotu do normalnego trybu?

  • Ja również po zmianie na https nie mogę sie zalogowac, wyskakują błędy certifikatu mam dość! co z tym zrobic, nie mogę sie zalogować na facebook.com i facebook.pl ..

  • Ja też nie mogę się zalogować na facebooka, wyskakuje mi bład certyfikatu :((((

  • zamiast robic takie cos to niech te gole baby usuna co sie typy nimi podniecaja bo to przez to wirusy!!!!!!!!!!!!

  • Witam. U mnie https dziala tylko przez modem, gdy wącze routera to automatycznie nie moge sie zalogować. nie wyswetla grafiki na facebooku.

  • co mam zrobić jak nawet przez HTTP nie mogę włączyc facebooka?

Zostaw komentarz

Adres e-mail nie zostanie opublikowany.
Pola oznaczone * są wymagane.

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>