Heim Ýmislegt Þessar íslensku vefsíður ætla ég að varast

Þessar íslensku vefsíður ætla ég að varast

eftir Jón Ólafsson

Uppfært 13/02: Það hafa nokkur fyrirtæki tekið mjög vel í ábendingar okkar og uppfært öryggismál á heimasíðu sinni. Hér má sjá lista yfir hvaða fyrirtæki hafa uppfært og hvaða vefverslanir ber að varast.

Viðbót hér um vefi fjölmiðla og stjórnsýslunnar og hér um lífeyrissjóði, stjórnmálaflokka og ýmis fyrirtæki

———————-

Eins og við sögðum frá fyrir skemmstu, þá fer núna öll vefumferð milli notenda og Lappari.com fram yfir HTTPS. Þetta ættuð þið að sjá í slóðinni hér að ofan. Hér er dæmi um hvernig Chrome sýnir þetta. Græn mynd af lás og það stendur Secure ásamt því að það sést S í HTTPS.

https1

 

Hvað er HTTPS?

HTTPS (HTTP yfir TLS/SSL eða bara HTTP Secure) er samskiptastaðall fyrir örugg(ari) samskipti yfir internetið. Þessi staðall miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir yfir HTTP, séu dulkóðuð og þannig m.a. varin fyrir mITm árásum (með t.d. router malware eða public hotspot/proxy) eða bara hefðbundnu pakka sniffi.

Í stuttu máli:

  • Staðfesting á að vefurinn sem þú vilt heimsækja, sé sá sem hann segist vera.
  • Dulkóðun samskipta, auðkenni og persónulegar upplýsingar notenda varin.
  • Veitir notendum öryggistilfinningu.

Ég er meðvitaður um að HTTPS er ekki fullkomið en þetta er einn liður í því að gæta öryggis notenda og ætti því að vera regla frekar en undantekning.

 

Afhverju skiptir þetta máli?

Á vefsíðu eins og Lappari.com skiptir þetta kannski svo sem ekki miklu máli þar sem við erum ekki að selja ykkur neitt. Vefverslanir og reyndar vefsíður almennt, ættu ávallt að hafa öll sín samskipti yfir HTTPS. Ef þau eru bara yfir HTTP þá ættum við ekki að nota þær….  aldrei !!

Sem sagt…. aldrei láta notendur þína skrá inn upplýsingar yfir HTTP, því allt sem vefsíðan þín gerir eftir það (þótt þú sért með HTTPS þar) skiptir engu máli.

 

Hér er gamalt og gott myndband frá Troy Hunt sem sýnir þetta ágætlega

 

Eins og sést hér að ofan þá er innskráning í öll vefkerfi yfir HTTP vafasöm, alveg sama hvað gerist eftir það. Málið er að HTTPS snýst ekki bara um dulkóðunina, þó að hún sé stór partur. Þetta hefur allt með notandann að gera, öryggi hans og upplifun.

 

 

Ég renndi yfir nokkrar íslenskar vefsíður sem eru með vefverslanir. Flestar af þessum stóru eru með innskráningu yfir HTTPS en þó alls ekki allar.

Hér eru dæmi um vefverslanir sem ég myndi ekki nota í dag. Þetta er smá langloka en ég hefði getað haft þetta miklu miklu miklu lengra enda þessi mál í rugli hjá mörgum.

Notando

Notando

 

Elko – Búið að uppfæra  –  gamla myndin

 

Macland – Búið að uppfæra – gamla myndin

 

Ódýrið – Búið að uppfæra – gamla myndin

 

Símabær – Búið að uppfæra – gamla myndin

 

Sjónvarpsmiðstöðin

sjonvarpsmidstodin.is

 

Tölvulistinn – Búið að uppfæra – gamla myndin

 

Tölvutækni

tolvutaekni

 

A4 – Búið að uppfæra – gamla myndin

 

AB varahlutir – Búið að uppfæra – gamla myndin

 

Byko – Búið að uppfæra – gamla myndin

 

Húsasmiðjan –  Búið að uppfæra – gamla myndin

 

Eymundsson – Búið að uppfæra – gamla myndin

 

Fitness Sport

 

Heilsubúðin

Heilsubudin

 

Hreysti

Hreysti

 

Penninn – Búið að uppfæra – gamla myndin

 

Pósturinn

postur

 

Rúmfatalagerinn Búið að uppfæra – gamla myndin

 

Adam & Eva   (don´t ask)

sex

 

Skór – Búið að uppfæra – gamla myndin

 

Látum þetta duga í bili.

Hér að ofan eru örfá dæmi um vefverslanir og síðan innskráningarform þar sem notendur eru að skrá sig á póstlista o.s.frv. (dæmi skor.is). Vitanlega á allur vefurinn að vera í HTTPS….án nokkurra undantekninga

Til vara þurfa öll form þar sem notendur skrá inn persónuupplýsingar að fara fram yfir HTTPS. Allt annað er afsláttur á öryggi mínu sem notanda hjá viðkomandi fyrirtæki. Við ættum því að varast þannig form, láta viðkomandi fyrirtæki vita og biðja þá að laga sem allra fyrst.

Ég sá nokkur vafasöm atriði í þessu vafri mínu. Oft fyrirtæki sem eru með HTTPS á léni en ekki á undirléni. Sem dæmi þá er Tölvutek með allt í topp gír þegar þú heimsækir www.tolvutek.is en með allt lóðrétt ef þú heimsækir m.tolvutek.is í símanum þínum. Einfaldast er að fá sér SSL fyrir lénið sjálft, vera með responsive vef og sleppa þessu undirléna rugli.

 

Viðbót af heimasíðu Troy Hunt

 

Hvað finnst þér?

Þú hefur kannski áhuga á þessu...

3 athugasemdir

Gísli 09/02/2017 - 15:24

Sæll, ég sé ekki betur en rúmfatalagerinn sé með https og grænan lás í gegnum Chrome.

kv Gísli

Reply
Lappari 09/02/2017 - 15:28

Það er einmitt búið að uppfæra færsluna, rúmfatalagerinn og skor.is búnir að laga hjá sér 🙂

Nonni

Reply
Gylfi 03/10/2017 - 14:16

Símabær.is hefur verið uppfærður en það er ákveðin tegund af kurteisi að láta rekstraraðila vita af svona beint

Reply

Skildu eftir athugasemd

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Þessi vefur notast við vafrakökur. Samþykkja Lesa meira