Líkir óvörðum vefsíðum við gamla sveitasímann Hulda Hólmkelsdóttir skrifar 22. febrúar 2017 13:00 Ef grænn lás birtist í vafra þá erum örugga vefsíðu að ræða. vísir Jón Ólafsson, kerfisfræðingur og ritstjóri vefsins lappari.com, hefur undanfarna daga athugað hve öruggar vefsíður ýmissa íslenskra fyrirtækja eru þar sem óskað er eftir að fólk gefi upp persónuupplýsingar. Hann segir varhugavert að gefa upp persónuupplýsingar á vefjum þar sem tengingin er ekki örugg og líkir slíku við hinn gamla sveitasíma þar sem hægt var að hlera samtöl nágranna. „Ég hef alltaf útskýrt þetta þannig að þetta sé eins og gamli sveitasíminn versus nútímasími. Á gamla sveitasímanum gastu hlustað á það sem var í gangi sem þýðir að þú getur „hlustað á“ það sem notandinn er að slá inn, nafn, kennitölu, kortaupplýsingar ef því er að skipta. Þannig að þetta er í raun að tryggja að samskipti og þau gögn sem þú ert að senda inn, að þau séu bara á milli þín og síðunnar,“ segir Jón í samtali við Vísi. HTTPS, eða HTTP Secure, er samskiptastaðall fyrir öruggari samskipti yfir Internetið. Hann miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir HHTP séu dulkóðuð og þannig varin ýmsum árásum. Ef notendur sjá græna lásinn og HTTPS í vefslóð, þá er það - Staðfesting á að vefurinn sem þú ert að heimsækja, sé sá sem hann segist vera. - Staðfesting á að samskipti séu dulkóðuð og þannig auðkenni og persónulegar upplýsingar notenda varin. - Veitir notendum öryggistilfinningu. „Bara sem dæmi þegar þú ferð inn á bankann þinn þá færðu alltaf þennan græna lás í stikuna. Þetta segir þér sem notanda að þú sért tengdur við þann vef sem þú vilt vera tengdur við og að samskipti milli þín sem notanda og síðunnar eru dulkóðuð og varin (fyrir árásum). Það er eitthvað sem maður vill alltaf hafa, sérstaklega í bankasamskiptum og náttúrulega líka almennt á netinu. Þegar þú ert að slá inn nafn, kennitölu, heimilisfang, símanúmer og annað. Það er svona það sem ég hef verið að finna að, það eru allt of margar stórar síður og stór fyrirtæki sem hafa ekki verið að sinna þessu. Það er í rauninni ekkert mál að pikka upp hvað er í gangi þarna á milli.“Er auðvelt að nálgast persónuupplýsingar þegar vefsíður eru ekki öruggar?„Við skulum orða það þannig að ef maður hefur lágmarksþekkingu þá er það ekki stórvægilegt mál. Þetta er ekki eitthvað sem Jón Jónsson út í bæ er að gera en það er regla hjá öllum öryggissérfræðingum að allar síður þar sem þú slærð inn einhverjar persónulegar upplýsingar verður að vera varið með https.“ Jón hefur undanfarið birt færslur á lappari.com þar sem hann bendir á íslenskar vefsíður þar sem tengingin er ekki örugg. Hann segir mörg fyrirtæki hafa brugðist vel við ábendingum. Hann segir jafnframt að það sé ekki flókið að uppfæra vefi svo þeir verði öruggir. Hann segir það taka um 5-60 mínútur að beina HTTP umferð yfir á HTTPS. „Það er fullt af fyrirtækjum sem ég er búin að fara yfir og hafa samband við. Mörg stórfyrirtæki sem hafa brugðist mjög vel við eins og BYKO, Húsasmiðjan, Rúmfatalagerinn, ELKO. Þetta er dæmi um fyrirtæki sem hafa tekið mjög vel í þetta og lagað þetta hjá sér.“ Mest lesið Fylgdu eftir ábendingum um aðkomu undirheimanna Innlent Ekki í belti og undir áhrifum þegar hann lést Innlent Skaut hundinn sjálfur og fékk háa sekt Innlent Skipti öllu máli að telja drykkina Innlent Svikahrappurinn bjó í íbúð hinnar látnu í níu ár Innlent Holan alls ekki eina slysagildran Innlent Uppruni stjarnanna óþekktur: „Hver andskotinn hefur verið að setja þetta inn?“ Innlent „Þingflokkur Pírata braut á mér“ Innlent Hætta að sekta fyrir notkun nagladekkja Innlent Spurð hvort hún ætli sér ekkert meira en kennarastarf Innlent Fleiri fréttir Stjórnlaus ásókn í megrunarlyf og „árás“ á flugvöll Svikahrappurinn bjó í íbúð hinnar látnu í níu ár Dómur yfir Alberti kveðinn upp á fimmtudag Með ófullnægjandi hjálm þegar banaslys varð „Það er af og frá að ég hafi brotið lög“ Fjölmenntu í Aðalbyggingu HÍ og vilja svör frá rektor „Þingflokkur Pírata braut á mér“ Áfram lokuð þar sem viðgerðirnar undu upp á sig Spurð hvort hún ætli sér ekkert meira en kennarastarf Niðurstaða um Ölfusárbrú væntanleg í þessari viku Skaut hundinn sjálfur og fékk háa sekt Hætta að sekta fyrir notkun nagladekkja Svandís ræðir við hina formennina og ár af átökum fyrir botni Miðjarðarhafs Fylgdu eftir ábendingum um aðkomu undirheimanna Ræstu út mannskap til að kanna frágang fleiri brunna Afgerandi meirihluti með málstað Palestínumanna Ekki í belti og undir áhrifum þegar hann lést Skiptar skoðanir um umtalaða bókun við EES-samninginn Augljóst að ríkisstjórnarsamstarfið sé að nálgast leiðarlok Holan alls ekki eina slysagildran Skipti öllu máli að telja drykkina Segir ráðherra neita að afhenda gögn um bókun 35 Tveir handteknir í tengslum við slagsmál Athafnamaðurinn Þráinn Hafstein Kristjánsson látinn Uppruni stjarnanna óþekktur: „Hver andskotinn hefur verið að setja þetta inn?“ Nýtt eftirlitskerfi á ytri landamærum Schengen-svæðisins Öflugur skjálfti í Bárðarbunguöskju „Hann hverfur ofan í jörðina“ Heppni að ekki fór verr þegar tveggja ára drengur féll niður nokkra metra Risaþotan flaug aftur yfir Reykjavíkursvæðið Sjá meira
Jón Ólafsson, kerfisfræðingur og ritstjóri vefsins lappari.com, hefur undanfarna daga athugað hve öruggar vefsíður ýmissa íslenskra fyrirtækja eru þar sem óskað er eftir að fólk gefi upp persónuupplýsingar. Hann segir varhugavert að gefa upp persónuupplýsingar á vefjum þar sem tengingin er ekki örugg og líkir slíku við hinn gamla sveitasíma þar sem hægt var að hlera samtöl nágranna. „Ég hef alltaf útskýrt þetta þannig að þetta sé eins og gamli sveitasíminn versus nútímasími. Á gamla sveitasímanum gastu hlustað á það sem var í gangi sem þýðir að þú getur „hlustað á“ það sem notandinn er að slá inn, nafn, kennitölu, kortaupplýsingar ef því er að skipta. Þannig að þetta er í raun að tryggja að samskipti og þau gögn sem þú ert að senda inn, að þau séu bara á milli þín og síðunnar,“ segir Jón í samtali við Vísi. HTTPS, eða HTTP Secure, er samskiptastaðall fyrir öruggari samskipti yfir Internetið. Hann miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir HHTP séu dulkóðuð og þannig varin ýmsum árásum. Ef notendur sjá græna lásinn og HTTPS í vefslóð, þá er það - Staðfesting á að vefurinn sem þú ert að heimsækja, sé sá sem hann segist vera. - Staðfesting á að samskipti séu dulkóðuð og þannig auðkenni og persónulegar upplýsingar notenda varin. - Veitir notendum öryggistilfinningu. „Bara sem dæmi þegar þú ferð inn á bankann þinn þá færðu alltaf þennan græna lás í stikuna. Þetta segir þér sem notanda að þú sért tengdur við þann vef sem þú vilt vera tengdur við og að samskipti milli þín sem notanda og síðunnar eru dulkóðuð og varin (fyrir árásum). Það er eitthvað sem maður vill alltaf hafa, sérstaklega í bankasamskiptum og náttúrulega líka almennt á netinu. Þegar þú ert að slá inn nafn, kennitölu, heimilisfang, símanúmer og annað. Það er svona það sem ég hef verið að finna að, það eru allt of margar stórar síður og stór fyrirtæki sem hafa ekki verið að sinna þessu. Það er í rauninni ekkert mál að pikka upp hvað er í gangi þarna á milli.“Er auðvelt að nálgast persónuupplýsingar þegar vefsíður eru ekki öruggar?„Við skulum orða það þannig að ef maður hefur lágmarksþekkingu þá er það ekki stórvægilegt mál. Þetta er ekki eitthvað sem Jón Jónsson út í bæ er að gera en það er regla hjá öllum öryggissérfræðingum að allar síður þar sem þú slærð inn einhverjar persónulegar upplýsingar verður að vera varið með https.“ Jón hefur undanfarið birt færslur á lappari.com þar sem hann bendir á íslenskar vefsíður þar sem tengingin er ekki örugg. Hann segir mörg fyrirtæki hafa brugðist vel við ábendingum. Hann segir jafnframt að það sé ekki flókið að uppfæra vefi svo þeir verði öruggir. Hann segir það taka um 5-60 mínútur að beina HTTP umferð yfir á HTTPS. „Það er fullt af fyrirtækjum sem ég er búin að fara yfir og hafa samband við. Mörg stórfyrirtæki sem hafa brugðist mjög vel við eins og BYKO, Húsasmiðjan, Rúmfatalagerinn, ELKO. Þetta er dæmi um fyrirtæki sem hafa tekið mjög vel í þetta og lagað þetta hjá sér.“
Mest lesið Fylgdu eftir ábendingum um aðkomu undirheimanna Innlent Ekki í belti og undir áhrifum þegar hann lést Innlent Skaut hundinn sjálfur og fékk háa sekt Innlent Skipti öllu máli að telja drykkina Innlent Svikahrappurinn bjó í íbúð hinnar látnu í níu ár Innlent Holan alls ekki eina slysagildran Innlent Uppruni stjarnanna óþekktur: „Hver andskotinn hefur verið að setja þetta inn?“ Innlent „Þingflokkur Pírata braut á mér“ Innlent Hætta að sekta fyrir notkun nagladekkja Innlent Spurð hvort hún ætli sér ekkert meira en kennarastarf Innlent Fleiri fréttir Stjórnlaus ásókn í megrunarlyf og „árás“ á flugvöll Svikahrappurinn bjó í íbúð hinnar látnu í níu ár Dómur yfir Alberti kveðinn upp á fimmtudag Með ófullnægjandi hjálm þegar banaslys varð „Það er af og frá að ég hafi brotið lög“ Fjölmenntu í Aðalbyggingu HÍ og vilja svör frá rektor „Þingflokkur Pírata braut á mér“ Áfram lokuð þar sem viðgerðirnar undu upp á sig Spurð hvort hún ætli sér ekkert meira en kennarastarf Niðurstaða um Ölfusárbrú væntanleg í þessari viku Skaut hundinn sjálfur og fékk háa sekt Hætta að sekta fyrir notkun nagladekkja Svandís ræðir við hina formennina og ár af átökum fyrir botni Miðjarðarhafs Fylgdu eftir ábendingum um aðkomu undirheimanna Ræstu út mannskap til að kanna frágang fleiri brunna Afgerandi meirihluti með málstað Palestínumanna Ekki í belti og undir áhrifum þegar hann lést Skiptar skoðanir um umtalaða bókun við EES-samninginn Augljóst að ríkisstjórnarsamstarfið sé að nálgast leiðarlok Holan alls ekki eina slysagildran Skipti öllu máli að telja drykkina Segir ráðherra neita að afhenda gögn um bókun 35 Tveir handteknir í tengslum við slagsmál Athafnamaðurinn Þráinn Hafstein Kristjánsson látinn Uppruni stjarnanna óþekktur: „Hver andskotinn hefur verið að setja þetta inn?“ Nýtt eftirlitskerfi á ytri landamærum Schengen-svæðisins Öflugur skjálfti í Bárðarbunguöskju „Hann hverfur ofan í jörðina“ Heppni að ekki fór verr þegar tveggja ára drengur féll niður nokkra metra Risaþotan flaug aftur yfir Reykjavíkursvæðið Sjá meira