Le HTTPS maintient les données transmises privées et protège contre les attaques de piratage. Il empêche également les données d'être trafiquées ou interceptées lors de la transmission par, par exemple, l'introduction de publicités ou de code malveillant.
C’est pourquoi, et sans doute aussi que le RGPD est passé par là, pour accroître la sécurité des applications et des sites Web utilisant le bouton "Se connecter avec Facebook" (Facebook Login), Facebook fait une mise à jour importante pour la manipulation de tous les jetons d'accès de connexion de Facebook.
Un nouveau paramètre “Appliquer HTTPS” (Enforce HTTPS) pour la connexion Facebook est maintenant disponible dans le tableau de bord de votre application.
Lorsqu'il est activé, il nécessite que toutes les redirections de Facebook Login utilisent le HTTPS, et tous les appels SDK Facebook JavaScript qui retournent ou nécessitent un jeton d'accès à se produire uniquement à partir de pages HTTPS.
Une fois de plus, HTTPS aide à garder les informations transmises privées et aide à protéger la sécurité des personnes utilisant votre application et votre bouton Facebook Login.
La suite logique est cette déclaration de Facebook dans un post récent :
Toutes les nouvelles applications créées depuis Mars 2018 ont déjà été obligées d’utiliser ce paramètre, et les applications existantes et les sites Web utilisant le bouton "Se connecter avec Facebook" ont jusqu'au 6 Octobre 2018 pour l’activer avant qu'il ne soit automatiquement activé.
Les URIs ou les pages de redirection non-sécurisées effectuant des appels de connexion ou d'API avec le SDK JavaScript à partir de pages HTTP cesseront de fonctionner après cette date.
Vous avez peut-être reçu une alerte développeur vous indiquant que Facebook a déjà activé ce paramètre pour votre application :
- Si vous n'utilisez pas actuellement les flux OAuth Web,
- Si vous utilisez déjà uniquement des URI HTTPS,
- Si tous vos noms de domaine de redirection envoient ou préchargent des instructions HTTP Strict Transport Security.
Si toutes vos URL ne sont pas HTTPS ou HSTS, Facebook vous recommande vivement de mettre à jour vos pages pour fonctionner sur HTTPS et activer le paramètre “Appliquer HTTPS” dans vos paramètres de connexion Facebook.
(Cliquez sur l'image pour l'agrandir)
 |
| Image via Facebook |
Vous pourrez toujours utiliser le protocole HTTP avec les adresses “localhost”, mais seulement lorsque votre application est toujours en mode de développement.
D'autres dispositifs du SDK JavaScript de Facebook, tels que les plugins sociaux, utilisent déjà des iframes HTTPS et ne transmettent pas d'informations sensibles de nouveau à leurs pages d'incorporation, ainsi elles peuvent continuer à être utilisées sur des pages HTTP.
Assurez-vous d'activer “Appliquer HTTPS” d'ici le 6 Octobre 2018 afin que vos URL redirigent correctement.
