I messaggi di chat di Facebook sono crittografati?

3

Mi chiedevo se i messaggi di chat su Facebook venissero inviati in chiaro o se sono crittografati in qualche modo. La barra degli indirizzi nel browser è simile a questa

https://www.facebook.com

(noti il link ), ma le richieste AJAX utilizzate dalla chat vengono inviate anche su https?

E dato che la mia comprensione di https è un po 'scadente, cosa significherebbe usare https per chat in termini di crittografia? Ci sarebbe la crittografia per i messaggi in arrivo, i messaggi in uscita o entrambi (o nessuno dei due)?

In sostanza quello che sono curioso è che un intermediario (un router per esempio) può leggere qualsiasi messaggio sulla chat di Facebook?

Ho dato un'occhiata a Wireshark e non sono riuscito a vedere nessun messaggio di testo. Tutto ciò che riguardava Facebook stava passando attraverso TLS / SSL. Sembra che, almeno nel mio caso, tutto sia stato criptato. Tuttavia, sarei grato se qualcuno più esperto potesse confermarlo.

    
posta Novotny 12.09.2016 - 17:20
fonte

1 risposta

1

I took a peek with Wireshark and I couldn't see any plain text message. Everything Facebook related was going through TLS/SSL. It appears that, at least in my case, everything was encrypted. I would, however, appreciate if someone more knowledgeable could confirm this.

Sarebbe esattamente quello che farei per verificare se il mio browser sta inviando messaggi in chiaro da qualche webapp. Tuttavia, dato che ci si trova su una pagina che è connessa tramite HTTPS, la chiamata AJAX deve essere effettuata tramite HTTPS grazie alla stessa politica di origine. Esiste una domanda vecchia (ma ancora effettiva) su SO .

Se guardi i commenti su quella domanda vedrai anche un riferimento alla specifica CORS che sostiene quanto segue su C ross S ite R esource S haring:

user agents are allowed to terminate the algorithm and not make a request. This could be done because e.g.:

...

  • https to http is not allowed.

Ora, questa parte della tua domanda è un'altra storia:

And since my understanding of https is a bit shoddy, what would using https for chat actually mean in terms of encryption? Would there be encryption for incoming messages, outgoing messages, or both (or neither)?

Per la parte relativa alla crittografia, farò semplicemente riferimento alla domanda SO pertinente .

Per la parte "scadente" si intende probabilmente il (abbastanza) famoso attacco sslstrip di Moxie Marlinspike. È un MITM che simula il browser con cui sta effettivamente parlando, è un attacco che richiede che l'attaccante abbia il controllo della rete su cui ti trovi. HSTS viene ampiamente implementato in questi giorni (Facebook lo usa) quindi sslstip sta diventando meno di un problema. E abbiamo anche una domanda di riferimento per sslstrip .

References:

risposta data 13.09.2016 - 00:43
fonte

Leggi altre domande sui tag