Líkir óvörðum vefsíðum við gamla sveitasímann

Jón Ólafsson, kerfisfræðingur og ritstjóri vefsins lappari.com, hefur undanfarna daga athugað hve öruggar vefsíður ýmissa íslenskra fyrirtækja eru þar sem óskað er eftir að fólk gefi upp persónuupplýsingar. Hann segir varhugavert að gefa upp persónuupplýsingar á vefjum þar sem tengingin er ekki örugg og líkir slíku við hinn gamla sveitasíma þar sem hægt var að hlera samtöl nágranna.

„Ég hef alltaf útskýrt þetta þannig að þetta sé eins og gamli sveitasíminn versus nútímasími. Á gamla sveitasímanum gastu hlustað á það sem var í gangi sem þýðir að þú getur „hlustað á“ það sem notandinn er að slá inn, nafn, kennitölu, kortaupplýsingar ef því er að skipta. Þannig að þetta er í raun að tryggja að samskipti og þau gögn sem þú ert að senda inn, að þau séu bara á milli þín og síðunnar,“ segir Jón í samtali við Vísi.

HTTPS, eða HTTP Secure, er samskiptastaðall fyrir öruggari samskipti yfir Internetið. Hann miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir HHTP séu dulkóðuð og þannig varin ýmsum árásum.

Ef notendur sjá græna lásinn og HTTPS í vefslóð, þá er það

- Staðfesting á að vefurinn sem þú ert að heimsækja, sé sá sem hann segist vera.

- Staðfesting á að samskipti séu dulkóðuð og þannig auðkenni og persónulegar upplýsingar notenda varin.

- Veitir notendum öryggistilfinningu.

„Bara sem dæmi þegar þú ferð inn á bankann þinn þá færðu alltaf þennan græna lás í stikuna. Þetta segir þér sem notanda að þú sért tengdur við þann vef sem þú vilt vera tengdur við og að samskipti milli þín sem notanda og síðunnar eru dulkóðuð og varin (fyrir árásum). Það er eitthvað sem maður vill alltaf hafa, sérstaklega í bankasamskiptum og náttúrulega líka almennt á netinu. Þegar þú ert að slá inn nafn, kennitölu, heimilisfang, símanúmer og annað. Það er svona það sem ég hef verið að finna að, það eru allt of margar stórar síður og stór fyrirtæki sem hafa ekki verið að sinna þessu. Það er í rauninni ekkert mál að pikka upp hvað er í gangi þarna á milli.“

Er auðvelt að nálgast persónuupplýsingar þegar vefsíður eru ekki öruggar?

„Við skulum orða það þannig að ef maður hefur lágmarksþekkingu þá er það ekki stórvægilegt mál. Þetta er ekki eitthvað sem Jón Jónsson út í bæ er að gera en það er regla hjá öllum öryggissérfræðingum að allar síður þar sem þú slærð inn einhverjar persónulegar upplýsingar verður að vera varið með https.“

Jón hefur undanfarið birt færslur á lappari.com þar sem hann bendir á íslenskar vefsíður þar sem tengingin er ekki örugg. Hann segir mörg fyrirtæki hafa brugðist vel við ábendingum. Hann segir jafnframt að það sé ekki flókið að uppfæra vefi svo þeir verði öruggir. Hann segir það taka um 5-60 mínútur að beina HTTP umferð yfir á HTTPS.

„Það er fullt af fyrirtækjum sem ég er búin að fara yfir og hafa samband við. Mörg stórfyrirtæki sem hafa brugðist mjög vel við eins og BYKO, Húsasmiðjan, Rúmfatalagerinn, ELKO. Þetta er dæmi um fyrirtæki sem hafa tekið mjög vel í þetta og lagað þetta hjá sér.“