Facebookが利用可能になった後、なぜHSTSを長期間使用しなかったのですか？

概要：HSTSが近づいていますが、サイトには、リンクをクリックしたときにWebサイトに誰であるかを知らせないなど、ユーザー情報の保護に関連するいくつかのハードルがあります。その特定の問題の説明： https://www.facebook.com/notes/facebook-engineering/protecting-privacy-with-referrers/392382738919

Firefoxは最後の主要なホールドアウトです。 2011年に提出されたバグのコメント14（2012年3月15日）は次のとおりです。 https://bugzilla.mozilla.org/show_bug.cgi?id=704320#c14

WebKitユーザーの場合、Facebookは近いうちに「オリジン」ポリシーを実装する予定です。このポリシーは、サイトの現在の動作を効果的に表していますが、既存のブラウザー動作の悪用に依存していません。背景： https://www.facebook.com/notes/facebook-engineering/protecting-privacy-with-referrers/392382738919

メタリファラーの提案は、Facebookユーザーに関して2つの直接的な利点を提供します。

• 現在、インタースティシャルエンドポイントを通じてdocument.location.replace（）を使用して、Mozillaユーザーに対して外部リダイレクトを実行しています。 JavaScriptに依存する代わりにネイティブリダイレクトを実装すると、パフォーマンスがわずかに向上し、JavaScriptを無効にしてリダイレクトを機能させることができます。

• リファラーヘッダーを送信するために、インタースティシャルを意図的にHTTPSからHTTPにダウングレードします。これは明らかに望ましくありませんが、現在の状況では必要です。メタリファラーのサポートにより、安全な接続を維持し、Strict-Transport-Securityの実装をブロックする最後の問題の1つを解決できます

提案の背後に少しのサポートを投げるだけです。 Firefoxでのサポートをお待ちしています。

フォローアップコメント79（2014年1月30日）、同じバグ： https://bugzilla.mozilla.org/show_bug.cgi?id=704320#c79

Facebookは2010年以来これを求めてきましたが、突然のラッシュを理解しているとは思いません。

コメント＃14の小さな更新。これは、Firefoxユーザーのfacebook.comでStrict-Transport-Securityをブロックする最後の問題です（しばらくの間、Chrome/Safariユーザーに対して有効になっています）。私たちが急いでいるとは言いません。私たちはあなたの優先する解決策を待って喜んでいますが、私はHSTSが有効になるのを遅くなるより早く見たいと思っています。

2015年5月更新：Facebookは現在HSTSを使用しています。よくできました。

$ http -h get https://www.facebook.com
Strict-Transport-Security: max-age=15552000; preload

参照 https://www.ssllabs.com/ssltest/analyze.html?d=facebook.com