Supporto HTTPS per tutte le applicazioni Facebook entro ottobre


Facebook ha chiesto a tutti gli sviluppatori sulla sua piattaforma di ottenere i certificati SSL e rendere le loro applicazioni compatibili con HTTPS e OAuth 2.0 entro il 1° ottobre. La società ha presentato i propri piani in un post sul suo blog degli sviluppatori, dicendo che è nel migliore interesse di tutti attuare le due tecnologie al più presto possibile. Facebook ha attivato la connessione HTTPS per full-session da molto tempo, ma l’unico elemento che ha permesso l’utilizzo da un numero considerevole di persone è stato solo quando il sito ha aggiunto la possibilità per gli utenti di effettuare l’impostazione in modo persistente.


Tuttavia, anche con questa opzione, l’appello per l’HTTPS è rimasto piuttosto basso, perché la maggior parte delle applicazioni di terze parti, e anche Facebook Chat, non lo supportano. Ogni volta che qualcuno ha tentato di utilizzare un’applicazione è stato richiesto loro di tornare alla connessione non protetta HTTP. L’implementazione di Facebook HTTPS non riesce ancora a soddisfare le esigenze di usabilità e di sicurezza e rimarrà così fino a quando le applicazioni saranno disponibili tramite connessioni non crittografate. ”[...] Stiamo lavorando con Symantec per problemi di identità nel nostro flusso di autenticazione per garantire che essi siano più sicuri. Questo ci ha portato a concludere che la migrazione a OAuth e HTTPS è ora nel migliore interesse dei nostri utenti e sviluppatori”, ha scritto di Facebook Naitik Shah sul blog degli sviluppatori.


Facebook ha deciso di accelerare il processo di aggiornamento per la sua Developer roadmap e la collaborazione con Symantec, soprattutto in conseguenza del grave bug che ha colpito la piattaforma e segnalato dalla società di sicurezza. Secondo il timeline inviato dalla società, tutti gli sviluppatori dovranno migrare le loro applicazioni a OAuth 2.0 e l’accesso protetto da token il 1° settembre. Essi dovranno avviare anche la trasformazione del processo signed_request (fb_sig verrà rimoso) entro il 1° ottobre. Questo significa che agli sviluppatori sarà necessario ottenere un certificato SSL e compilare i campi “URL Secure Canvas” e “Secure Tab URL” della App Developer con le informazioni corrispondenti. Se attualmente si utilizza il vecchio flusso di autenticazione Facebook Connect (login.php), sarà necessario migrare a OAuth 2.0. 

Se si fà riferimento direttamente all’SDK JavaScript, questo cambiamento avverrà automaticamente. Facebook Platform supporta due differenti flussi di OAuth 2,0 per il login utente: lato server (noto come il codice di autenticazione di flusso nello specifico) e lato client (noto come il flusso implicito). Bisognerà attuare questi flussi leggendo le note aggiornate Authentication Guide di Facebook Developers. Facebook è consapevole che queste migrazioni sono significative e richiedono una buona quantità di lavoro. Ma avere un unico standard per l’autenticazione e applicazioni servite tramite HTTPS consente a Facebook di fornire una più semplice, più sicura e affidabile piattaforma.

2 commenti: