HSTS per le app Android?

L'app di Facebook utilizza HSTS per Android / iOS? No. Non è necessario. HSTS è specifico per comunicare ai browser Web come Chrome, Firefox, ecc. Di interagire con il loro servizio Web solo tramite HTTPS.

Un'app mobile avrà un codice HTTPS rigido nell'app stessa, rendendola l'unica opzione. Credo che Apple lo richieda per qualsiasi app e per Android sembra che si stiano spostando verso HTTPS anche per le app. HTTPS Android .

Se stai sviluppando un'applicazione da solo e vuoi che gli utenti utilizzino solo HTTPS, devi semplicemente chiamare i tuoi servizi di back-end usando solo HTTPS e avere quel codice direttamente nella tua applicazione, sia Android che iOS. Esempio: link

Il motivo per cui HSTS non è necessario nell'ambiente delle app mobili è perché nel browser web un utente può accedere a un URL di base come example.com su HTTP. L'utente ha più controllo in un ambiente di browser Web su come desidera navigare sul tuo sito web. Anche indicizzazione e back link al tuo sito web, le persone possono specificare quale protocollo HTTP o HTTPS quando si collega al tuo sito web. Ecco perché è necessario HSTS in un ambiente di browser Web per dire al browser, "parla solo con me in HTTPS anche se qualcuno dice che vogliono HTTP" ma in un ambiente mobile, come sviluppatore sei quello che arriva a specificare HTTPS in il codice nella tua app per interagire con il servizio di back-end. Gli utenti non hanno bisogno di navigare manualmente verso un URL perché è tutto codificato nell'app Facebook o che hai creato. Gli utenti devono solo aprire l'app. Quindi, come sviluppatore, puoi dire di più su come l'app deve interagire con il tuo servizio web. È la tua app, il tuo cliente, tu dici cosa devi fare ma non hai creato Chrome o Firefox, è il client di qualcun altro, quindi devi dire loro tramite HSTS come dovrebbe interagire con il tuo servizio web.

L'HSTS può prevenire attacchi di downgrade del protocollo durante il MITM. La maggior parte delle applicazioni mobili utilizza il blocco dei certificati.