Heim Ýmislegt Óöruggir vefir lífeyrissjóða, stjórnmálaflokka og ýmisa fyrirtækja
Ýmislegt

Óöruggir vefir lífeyrissjóða, stjórnmálaflokka og ýmisa fyrirtækja

eftir Jón Ólafsson
höfundur Jón Ólafsson

Við hér á Lappari.com höfum verið að skoða öryggismál hjá íslenskum vefum í vikunni. Við höfum bara skoðað grunnöryggisatriði eins og HTTPS vottorð á vefum þar sem notendur (þið) skráið inn upplýsingar.

Við sem notendur, eigum aldrei að skrá inn persónuupplýsingar á vefsíður sem hafa ekki Secure/HTTPS lás í vefslóðinni. Ef það er ekki lás eins og hér á Lappari.com þá ættuð þið að hafa samband við viðkomandi félag/stofnun og óska eftir úrbótum.

 

Skiptir máli hvort það er HTTP eða HTTPS?

  • HTTP = Gamli sveitasíminn þar sem allir gátu hlustað á samtöl
  • HTTPS = nútíma símkerfi þar bara sá sem hringir og sá sem svarar geta talað saman

 

Ég tók smá rúnt um netið í gærkvöldi og fann fljótlega um 57 vefir sem þarfnast úrbóta. Við birtum fyrstu 30 vefina hér og fylgjum eftir með hina 27 í færslu hér.

Hér eru 9 lífeyrissjóðir, 6 stjórnmálaflokkar og 15 önnur fyrirtæki. Annað hvort er allur vefurinn yfir http eða innsláttarform. Það ætti að vera einfalt að laga.

 

Lífeyrissjóðir

Lífeyrissjóður Verzlunarmanna

 

Almenni lífeyrissjóðurinn

 

Lífeyrissjóður bankamanna

 

Festa lífeyrissjóður – Búið að uppfæra – hér er gamla myndin

 

Frjálsi lífeyrissjóðurinn

 

 

Stjórnmálaflokkar

Renndi yfir heimasíður nokkurra stjórnmálaflokka, skráning í flesta flokka er yfir http.

 

Björt Framtíð

 

Framsóknarflokkur

 

Píratar – Búið að uppfæra í HTTPS – gamla myndin

 

Samfylkingin

 

Dögun

 

Vinstri Grænir

 

 

Fyrirtæki

Til viðbótar við fyrirtækin sem eiga enn eftir að laga eftir síðustu úttekt… þá bætum við nú þessum á skussalistann okkar.

 

Orkan

 

Olís – Búið að uppfæra – Hér er gamla myndin

 

VÍS – Búið að uppfæra – hér er gamla myndin

 

Múrbúðin

 

Mottumars

 

Lögmannafélag Íslands

 

Sjálfsalinn

 

Keflavik Airport

 

Isavia

 

Heimilistæki

 

HB Grandi

 

Eimskip – Tilboðsbeiðnir (og margt annað)

 

Eimskip – atvinnuumsókn

 

World Class

 

Hreyfing

 

Eins og fyrr segir þá eru þetta vefir sem ég datt inn á við að vafra um netið. Ég gæti líklega haldið áfram endalaust en stóra málið er að við notendur séum vakandi.

Við eigum aldrei að sætta okkur við innslátt upplýsinga (eða leyniorða) yfir http…. s.s. án þess að hafa græna lásinn í slóðinni eins og er hér á Lappari.com

 

Framhald af þessari færslu má sjá hér – Allar skjámyndir voru teknar aðfaranótt 15.02.2017

 

Hvað finnst þér?

/// Ritstjóri - Editor in Chief \\\ Eldri en tveggja vetra Akureyringur en fæddur og uppalinn suður á flatlendinu. Hann er fáránlega vel giftur þriggja barna faðir sem hefur starfað sem CTO og við ýmis tölvutengd störf í mörg mörg mörg ár. Hann er fjölskyldumaður fyrst og fremst en einnig mikil áhugamaður um græjur af öllu tagi.

Þú hefur kannski áhuga á þessu...

Ég vil einangra IoT tækin mín.

Microsoft lagar vandræðalegan öryggisgalla

Er nóg að virkja bara HTTPS og láta...

Er betra að leigja Snjallöryggiskerfi eða kaupa það?

Krack árásir – Þú þarft ekki að aftengja...

UPPFÆRT: Tix.is færir notendur sína ekki sjálfkrafa yfir...

Aðeins einu S-i frá persónuvernd – Uppfært

Er hægt að flytja gesti sjálfkrafa af HTTP...

Óöruggir vefir fjölmiðla og í stjórnsýslunni

2 athugasemdir

Björn Þór Jóhannesson 18/02/2017 - 13:51

Margir þessara vefja eru með https þó vefurinn vísi notendum ekki sjálfkrafa yfir á https. Það er dálítill trassaskapur að minnast ekki á það. Greinin er í raun skrifuð eins og það sé bara ekkert https í boði.

Reply
Jón Ólafsson 18/02/2017 - 13:55

Það er eins og að keyra í hálku með nagladekkin í skottinu. Þú ert með þau með þér en notar þau ekki…

Eitt redirect á vefþjóni, af http yfir á https og málið er dautt.

Reply

Skildu eftir athugasemd

Save my name, email, and website in this browser for the next time I comment.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Þessi vefur notast við vafrakökur. Samþykkja Lesa meira