Þessar íslensku vefsíður ætla ég að varast

Uppfært 13/02: Það hafa nokkur fyrirtæki tekið mjög vel í ábendingar okkar og uppfært öryggismál á heimasíðu sinni. Hér má sjá lista yfir hvaða fyrirtæki hafa uppfært og hvaða vefverslanir ber að varast.

Viðbót hér um vefi fjölmiðla og stjórnsýslunnar og hér um lífeyrissjóði, stjórnmálaflokka og ýmis fyrirtæki

———————-

Eins og við sögðum frá fyrir skemmstu, þá fer núna öll vefumferð milli notenda og Lappari.com fram yfir HTTPS. Þetta ættuð þið að sjá í slóðinni hér að ofan. Hér er dæmi um hvernig Chrome sýnir þetta. Græn mynd af lás og það stendur Secure ásamt því að það sést S í HTTPS.

Hvað er HTTPS?

HTTPS (HTTP yfir TLS/SSL eða bara HTTP Secure) er samskiptastaðall fyrir örugg(ari) samskipti yfir internetið. Þessi staðall miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir yfir HTTP, séu dulkóðuð og þannig m.a. varin fyrir mITm árásum (með t.d. router malware eða public hotspot/proxy) eða bara hefðbundnu pakka sniffi.

Í stuttu máli:

• Staðfesting á að vefurinn sem þú vilt heimsækja, sé sá sem hann segist vera.
• Dulkóðun samskipta, auðkenni og persónulegar upplýsingar notenda varin.
• Veitir notendum öryggistilfinningu.

Ég er meðvitaður um að HTTPS er ekki fullkomið en þetta er einn liður í því að gæta öryggis notenda og ætti því að vera regla frekar en undantekning.

Afhverju skiptir þetta máli?

Á vefsíðu eins og Lappari.com skiptir þetta kannski svo sem ekki miklu máli þar sem við erum ekki að selja ykkur neitt. Vefverslanir og reyndar vefsíður almennt, ættu ávallt að hafa öll sín samskipti yfir HTTPS. Ef þau eru bara yfir HTTP þá ættum við ekki að nota þær….  aldrei !!

Sem sagt…. aldrei láta notendur þína skrá inn upplýsingar yfir HTTP, því allt sem vefsíðan þín gerir eftir það (þótt þú sért með HTTPS þar) skiptir engu máli.

Hér er gamalt og gott myndband frá Troy Hunt sem sýnir þetta ágætlega

Eins og sést hér að ofan þá er innskráning í öll vefkerfi yfir HTTP vafasöm, alveg sama hvað gerist eftir það. Málið er að HTTPS snýst ekki bara um dulkóðunina, þó að hún sé stór partur. Þetta hefur allt með notandann að gera, öryggi hans og upplifun.

Ég renndi yfir nokkrar íslenskar vefsíður sem eru með vefverslanir. Flestar af þessum stóru eru með innskráningu yfir HTTPS en þó alls ekki allar.

Hér eru dæmi um vefverslanir sem ég myndi ekki nota í dag. Þetta er smá langloka en ég hefði getað haft þetta miklu miklu miklu lengra enda þessi mál í rugli hjá mörgum.

Notando

Elko – Búið að uppfæra  –  gamla myndin

Macland – Búið að uppfæra – gamla myndin

Ódýrið – Búið að uppfæra – gamla myndin

Símabær – Búið að uppfæra – gamla myndin

Sjónvarpsmiðstöðin

Tölvulistinn – Búið að uppfæra – gamla myndin

Tölvutækni

A4 – Búið að uppfæra – gamla myndin

AB varahlutir – Búið að uppfæra – gamla myndin

Byko – Búið að uppfæra – gamla myndin

Húsasmiðjan –  Búið að uppfæra – gamla myndin

Eymundsson – Búið að uppfæra – gamla myndin

Fitness Sport

Heilsubúðin

Hreysti

Penninn – Búið að uppfæra – gamla myndin

Pósturinn

Rúmfatalagerinn – Búið að uppfæra – gamla myndin

Adam & Eva   (don´t ask)

Skór – Búið að uppfæra – gamla myndin

Látum þetta duga í bili.

Hér að ofan eru örfá dæmi um vefverslanir og síðan innskráningarform þar sem notendur eru að skrá sig á póstlista o.s.frv. (dæmi skor.is). Vitanlega á allur vefurinn að vera í HTTPS….án nokkurra undantekninga

Til vara þurfa öll form þar sem notendur skrá inn persónuupplýsingar að fara fram yfir HTTPS. Allt annað er afsláttur á öryggi mínu sem notanda hjá viðkomandi fyrirtæki. Við ættum því að varast þannig form, láta viðkomandi fyrirtæki vita og biðja þá að laga sem allra fyrst.

Ég sá nokkur vafasöm atriði í þessu vafri mínu. Oft fyrirtæki sem eru með HTTPS á léni en ekki á undirléni. Sem dæmi þá er Tölvutek með allt í topp gír þegar þú heimsækir www.tolvutek.is en með allt lóðrétt ef þú heimsækir m.tolvutek.is í símanum þínum. Einfaldast er að fá sér SSL fyrir lénið sjálft, vera með responsive vef og sleppa þessu undirléna rugli.

Viðbót af heimasíðu Troy Hunt

Hvað finnst þér?