Facebook обязала разработчиков использовать HTTPS в Facebook Login

В своем блоге для разработчиков Facebook рассказала о новом обновлении для приложений и сайтов, использующих функцию авторизации Facebook Login. В панели управления появился переключатель «Принудительный HTTPS». Он требует принимать переходы и вызовы функции аутентификации из Facebook JavaScript SDK только с сайтов, использующих HTTPS:

Это обязательно?

Команда Facebook отметила, что все приложения, созданные после марта 2018 года, уже используют эту функцию по умолчанию. Существующим сервисам необходимо получить поддержку защищенного протокола до 6 октября 2018 года, иначе она включится автоматически. После этого все вызовы API и перенаправления для аутентификации с сайтов, использующих HTTP, перестанут работать. Незащищенный протокол можно будет использовать с локальными адресами, но только в режиме разработки.

Все разработчики, использующие Facebook Login, уже получили уведомление о необходимости включить «Принудительный HTTPS» в своих сервисах. Другие функции Facebook JavaScript SDK, такие как социальные плагины, не передают конфиденциальную информацию третьим лицам и для встраивания на сайты используют HTTPS, а потому обязательному переходу не подлежат.

Согласно исследованию, проведенному в марте 2017 года, доля HTTPS-запросов превысила HTTP, что свидетельствует о его широком распространении. В связи этим в новых версиях Chrome Google заменила зеленый индикатор безопасности красной плашкой «Not Secure» для HTTP-соединений.