• Tweet

Adicional a la implementación del protocolo HTTPS, Facebook está trabajando con Google, Yahoo! y Mozilla en una especificación, la cual protegerá a las cookies de sesión contra robos cuando las conexiones no estén cifradas.

Llamada la Autenticación de Acceso MAC, la especificación está actualmente en proyecto por la Internet Engineering Task Force (IETF) y está destinado a proporcionar una verificación criptográfica para ciertas partes de las solicitudes HTTP.

MAC en este contexto se refiere al código de autenticación de mensajes, una única cadena generada por el cliente, la cual permite al servidor verificar que una solicitud no haya sido creada antes.

Esto previene el ataque de “hombre en el medio” (man-in-the-middle), el cual confía en interceptar y reproducir las solicitudes desde y hacia el cliente.

“Estamos trabajando con Yahoo!, Google y Mozilla sobre esta especificación con el fin de dar a todos los sitios web una manera de asegurar que la información de sesión no haya sido alterada o manipulada”, dijeron desarrolladores de Facebook en un post detallando recientes cambios a su plataforma de aplicación.

La empresa ha pedido a los desarrolladores adquirir un certificado SSL y HTTPS para hacer sus aplicaciones compatibles para el 1 de octubre.

Este anuncio fue recibido con cierta hostilidad por parte de los desarrolladores que no quieren incurrir en costos adicionales asociados con la implementación de SSL.

"Contrario a algunos comentarios que hemos escuchado, la adquisición de un certificado SSL es relativamente barato, y el costo actual de apoyo de SSL para la mayoría de aplicaciones es bajo. Cuanto antes su aplicación soporte HTTPS, serà más segura en nuestra plataforma", subrayó Facebook.

Además, los desarrolladores también tendrán que implementar OAuth 2.0, un estándar de autenticación que viene con la protección de falsificación de solicitud de páginas web (CSRF). Este sistema permite la obtención de tokens de acceso, llaves que dan acceso a aplicaciones a los perfiles de las personas, más seguro y confiable.

Muchas aplicaciones de Facebook que utilizan sistemas de legado de autenticación se encontraron recientemente para compartir sin darse cuenta estos símbolos con los anunciantes y otros terceros.

Por último, se pidió a los desarrolladores una revisión actualizada de las políticas de Facebook para la plataforma y asegurarse de que sus aplicaciones se ajusten a ellas. Se prohíben específicamente UID o tokens de acceso que sean compartidas con terceros.