Mange norske nettbutikker fortjener fortsatt stryk­karakter for sikkerheten

[_Brukernavn_]

Nå vet jeg ikke hva du legger i begrepet "sensitiv informasjon", men mange er opptatt av å beskytte så mye privat informasjon som mulig. Det er ikke selve innholdet på skatteetatene sine sider, men hvilke deler av innholdet du leser som man ønsker å holde privat. Når du gjentatte ganger spør om en begrunnelse så misforstår du poenget med å beskytte privatlivet; man har rett til å skjule privat informasjon om seg selv uten å rettferdiggjøre det eller å bli mistenkeliggjort for det. 

 

Men om man kun er opptatt av sensitiv informasjon, så gir du potensielt fra deg informasjon om punktene nedenfor ved å fylle ut fradragsveilederen. Noe av dette regner du kanskje som sensitivt? 

 

 Har du barn som er under 12 år?

 Får du ekstra reisevei til jobb på grunn av levering til barnehage eller skolefritidsordning?

 Har du barn som er 12 år eller eldre og som har særskilt omsorgsbehov?

 Er avstanden mellom hjem og jobben din mer enn 46,4 kilometer tur-retur?

 Har du utgifter til bompenger eller ferge på turen mellom hjem og jobb?

 Overnatter du et annet sted enn hjemme på grunn av jobb?

 Er du medlem i en fagforening?

 Har du bolig i boligselskap eller -sameie?

 Har du leid ut bolig eller fritidsbolig?

 Har du solgt bolig eller fritidsbolig med tap?

 Har du lån?

 Har du refinansiert lån i løpet av året som har gått?

 Har du BSU sparing?

 Har du solgt aksjer eller verdipapirer med tap?

 Har du gitt gaver til frivillige organisasjoner?

 Betaler du underholdsbidrag til tidligere ektefelle?

 Er du enslig forsørger?

 Har du store sykdomsutgifter?

 Er du ufør?

 Jobber du som fisker?

 Jobber du som sjøfolk?

 Har du flyttet på grunn av ny jobb?

 Studerte du i fjor?

 Har du disputert til doktorgrad?

 Er du utenlandsk arbeidstaker?

[quantum]

 

Det første her har du jo faktisk klart å svare på selv, og "rollen" avgjøres selvfølgelig av hvem som leser hva.

 

Det er hyggelig at du endelig ser ut til å forstå poenget, for "rollen" avgjøres nettopp av hvem som leser hva.

 

I dette tilfellet er det spesifikt snakk om Skatteetatens nettsider, som inneholder generell åpen informasjon alle kan lese og mindre sensitive data enn bloggen til Sophie Elise.

Jeg venter dog fremdeles et svar på akkurat hvilken nytte et TLS sertifikat på Skatteetaten dot no skulle ha, men det eneste jeg ser ut til å få av deg er defleksjoner og nye irrelevante spørsmål.

 

 

 

Vel, "poenget" er det nå engang du som etterspør, ikke jeg. Og det er allerede grundig forklart (https://www.diskusjon.no/index.php?showtopic=1751462&p=23621502).

[0laf]

 

Nå vet jeg ikke hva du legger i begrepet "sensitiv informasjon", men mange er opptatt av å beskytte så mye privat informasjon som mulig. Det er ikke selve innholdet på skatteetatene sine sider, men hvilke deler av innholdet du leser som man ønsker å holde privat. Når du gjentatte ganger spør om en begrunnelse så misforstår du poenget med å beskytte privatlivet; man har rett til å skjule privat informasjon om seg selv uten å rettferdiggjøre det eller å bli mistenkeliggjort for det. 

 

Det er helt korrekt, men det står du jo fritt til å gjøre uansett, for eksempel ved å ikke benytte trådløse aksesspunkt du ikke har kontroll over, eller ved å sende all trafikken din gjennom en VPN.

 

Hvorfor skal Skatteetaten, som ikke behandler det de anser som sensitiv informasjon på sine nettsider, kryptere trafikken kun fordi du er paranoid.

 

Jeg ser ingen som klager på at for eksempel VG, Finn eller nettsidene til de aller fleste kommuner heller ikke benytter HTTPS, noe de forøvrig velger å gjøre fordi de ikke behandler data som strengt tatt behøver å krypteres.

 

Graden av sikkerhet er knyttet til dataene som sikres. En bank trenger høyere sikkerhet for å beskytte de besøkendes penger, enn den sikkerheten en rosablogg som ikke aner hvem de besøkende på nettsiden er, har behov for.

Skatteetaten havner her sammen rosabloggen, deres informasjonsider har absolutt ingen behov for å opprette en kryptert forbindelse, og dersom du vil sikre at ingen ser hva du driver med på nett, så er det ditt problem, ikke Skatteetatens.

[0laf]

Vel, "poenget" er det nå engang du som etterspør, ikke jeg. Og det er allerede grundig forklart (https://www.diskusjon.no/index.php?showtopic=1751462&p=23621502).

 

Det virker noe evneveikt å lenke til innlegget rett over ditt som en grundig forklaring på et spørsmål jeg stilte for omtrent 20 innlegg siden, er det slik at du bare må ha siste ordet, å kun kverulerer for å kverulere?

 

Ingen av de punktene som er nevnt i det innlegget er heller å regne som sensitiv informasjon, de fleste legger nok ut mer sensitiv informasjon åpent på Facebook enn de generelle spørsmålene som stilles i Fradragsveilederen, som kun er for å finne aktuelle fradrag.

[quantum]

 

Jeg ser ingen som klager på at for eksempel VG, Finn eller nettsidene til de aller fleste kommuner heller ikke benytter HTTPS, noe de forøvrig velger å gjøre fordi de ikke behandler data som strengt tatt behøver å krypteres.

 

 

 

Det er fordi du ikke følger godt nok med.

 

http://journalisten.no/2016/01/darlig-lesersikkerhet-pa-norske-nettsteder

https://www.nrk.no/dokumentar/difi-vurderer-nye-https-anbefalinger-1.12857676

http://www.medier24.no/artikler/kraftig-okning-i-krypterte-nettsider-men-ingen-av-landets-ti-storste-medier-gjor-det/361854

[quantum]

 

Vel, "poenget" er det nå engang du som etterspør, ikke jeg. Og det er allerede grundig forklart (https://www.diskusjon.no/index.php?showtopic=1751462&p=23621502).

 

Det virker noe evneveikt å lenke til innlegget rett over ditt som en grundig forklaring på et spørsmål jeg stilte for omtrent 20 innlegg siden, er det slik at du bare må ha siste ordet, å kun kverulerer for å kverulere?

 

Ingen av de punktene som er nevnt i det innlegget er heller å regne som sensitiv informasjon, de fleste legger nok ut mer sensitiv informasjon åpent på Facebook enn de generelle spørsmålene som stilles i Fradragsveilederen, som kun er for å finne aktuelle fradrag.

 

 

Da er roturen over og vi er over på skjellsord. Bra jobba. Kan det tenkes at du fikk et svar fordi du skrev "Jeg venter dog fremdeles et svar"?

[Faller]

Spørsmålet var veldig enkelt, hvordan kan andre se hva jeg leser, og hvilken rolle spiller det ?

 

Du hevder helt korrekt at noen kan se hva jeg leser på Skatteetaten gjennom et MitM angrep, men Skatteetaten dot no inneholder kun statiske informasjonssider, alle sensitive data finnes på et annet domene, Altinn.

Jeg skulle like å vite hvilken fordel et TLS sertifikat på Skatteetaten dot no ville hatt, og hvorfor det er et problem at noen ser hva jeg leser på Skatteetatens sine nettsider.

 

Jeg forstår altså ikke poenget med https for sider som ikke sender sensitiv informasjon, men jeg hadde satt pris om du forklarte det for meg?

Hvorfor ville det være et problem dersom en "mann i midten" kunne se at jeg leser Skatteetatens helt åpne artikkel om vrakpant for kjøretøy for eksempel ?

 

Så er det jo slik at er man først utsatt for et MitM angrep, så har man sannsynligvis langt større problemer enn at noen ser at du leser generell informasjon på nettet om skatteordninger.

 

Dersom man faktisk er mannen i midten, så kan man forøvrig også over https se deler av URL'en, og normalt forholdsvis enkelt gjette seg frem til resten ved å se på "lengder" her og der, og så selv besøke den samme nettsiden for å se hva jeg leser, https hjelper lite mot akkurat dette, og det ville ikke være så veldig mye vanskeligere å finne ut hvilken adresser jeg besøker i nettleseren min uavhengig av om nettstedet benytter SSL/TLS.

 

Videre finnes det måter å omgå https ved MitM angrep ved å benytte SSL-stripping, slik at generelt sett beskytter ikke https mot MitM i alle tenkelige tilfeller, ettersom mannen i midten i de fleste tilfeller kan lure nettleseren til å sende dataene ukryptert uansett, slik at sensitive data blir synlig for angriperen, men det er vel litt off-topic ettersom Skatteetaten dot no altså ikke ber om sensitive data, og har fint lite de trenger å beskytte.

Noen åpenbare fordeler med bruk av krypterte nettsider:

• Bedre søkemotoroptimalisering
• Innhold på en nettside må nødvendigvis komme fra den faktiske siden (man slipper med andre ord reklame/spam som utgir for å komme fra et kjent medium).
• Beskyttelse mot malware ved at ondsinnende ikke kan legge igjen skript eller kode på en nettside.
• Nettlesere som Chrome og Firefox har begynt/skal begynne med å si ifra om usikre kilder som slik at man ikke legger igjen epost-adressen (eller annen informasjon) i en usikker form.
• For annonsører vil en kunne få flere visninger, mer informasjon om de som klikker på dine annonser og større sannsynlighet for at dine annonser faktisk blir vist der du betaler for å få vist dem frem.
• Og selvfølgelig temaet som har blitt diskutert; uvedkommende kan i mindre grad se hva du surfer på, hvilke artikler du leser og hva du chatter med andre om, og du får større trygghet når du handler på nett for at ingen stjeler kredittkortinformasjonen din.

Disse punktene er hentet fra Per Øyvind Thorsheim (i gruppen "Stort og smått om sosiale medier i Norge"), The guardian og Ryan Feedly sin twittermelding

[_Brukernavn_]

 

Nå vet jeg ikke hva du legger i begrepet "sensitiv informasjon", men mange er opptatt av å beskytte så mye privat informasjon som mulig. Det er ikke selve innholdet på skatteetatene sine sider, men hvilke deler av innholdet du leser som man ønsker å holde privat. Når du gjentatte ganger spør om en begrunnelse så misforstår du poenget med å beskytte privatlivet; man har rett til å skjule privat informasjon om seg selv uten å rettferdiggjøre det eller å bli mistenkeliggjort for det.

 

Det er helt korrekt, men det står du jo fritt til å gjøre uansett, for eksempel ved å ikke benytte trådløse aksesspunkt du ikke har kontroll over, eller ved å sende all trafikken din gjennom en VPN.

 

Hvorfor skal Skatteetaten, som ikke behandler det de anser som sensitiv informasjon på sine nettsider, kryptere trafikken kun fordi du er paranoid.

 

Jeg ser ingen som klager på at for eksempel VG, Finn eller nettsidene til de aller fleste kommuner heller ikke benytter HTTPS, noe de forøvrig velger å gjøre fordi de ikke behandler data som strengt tatt behøver å krypteres.

 

Graden av sikkerhet er knyttet til dataene som sikres. En bank trenger høyere sikkerhet for å beskytte de besøkendes penger, enn den sikkerheten en rosablogg som ikke aner hvem de besøkende på nettsiden er, har behov for.

Skatteetaten havner her sammen rosabloggen, deres informasjonsider har absolutt ingen behov for å opprette en kryptert forbindelse, og dersom du vil sikre at ingen ser hva du driver med på nett, så er det ditt problem, ikke Skatteetatens.

 

Så lenge du ikke har definert hva du mener med "sensitiv informasjon", så er argumentene dine meningsløse. Personnummer regnes ikke som en sensitiv personopplysning, men når personnummer sendes med e-post eller annen form for elektronisk kommunikasjon kreves det likevel at det skal krypteres. 

 

Det stemmer heller ikke at ingen "klager" over at blant annet nettaviser ikke benytter HTTPS, da det nettopp i denne tråden ble det ytret ønsker om at digi.no burde gjort det. 

 

Ingen av de punktene som er nevnt i det innlegget er heller å regne som sensitiv informasjon, de fleste legger nok ut mer sensitiv informasjon åpent på Facebook enn de generelle spørsmålene som stilles i Fradragsveilederen, som kun er for å finne aktuelle fradrag.

Enten så vet du ikke hva du snakker om, eller du har du en veldig oppfinnsom definisjon av sensitiv informasjon. For opplysninger om blant annet helseforhold, seksuelle forhold og medlemskap i fagforeninger regnes som sensitive personopplysninger. Dette er jo nettopp informasjon man legger inn i fradragsveilederen. 

 

Hva folk frivillig legger ut på facebook er irrelevant. 

[0laf]

Noen åpenbare fordeler med bruk av krypterte nettsider:

• Bedre søkemotoroptimalisering
• Innhold på en nettside må nødvendigvis komme fra den faktiske siden (man slipper med andre ord reklame/spam som utgir for å komme fra et kjent medium).
• Beskyttelse mot malware ved at ondsinnende ikke kan legge igjen skript eller kode på en nettside.
• Nettlesere som Chrome og Firefox har begynt/skal begynne med å si ifra om usikre kilder som slik at man ikke legger igjen epost-adressen (eller annen informasjon) i en usikker form.
• For annonsører vil en kunne få flere visninger, mer informasjon om de som klikker på dine annonser og større sannsynlighet for at dine annonser faktisk blir vist der du betaler for å få vist dem frem.
• Og selvfølgelig temaet som har blitt diskutert; uvedkommende kan i mindre grad se hva du surfer på, hvilke artikler du leser og hva du chatter med andre om, og du får større trygghet når du handler på nett for at ingen stjeler kredittkortinformasjonen din.

• Det er riktig at Google benytter HTTPS som et signal i rangering, slik at det kan være en av fordelene ved å benytte HTTPS

• Nei, innhold på en nettside må ikke nødvendigvis komme fra den faktiske nettsiden selv om det sendes over HTTPS. Det er ikke noe problem å inkludere eksterne kilder i en nettside som sendes med HTTPS, ei heller er det noe problem å endre dataene i et MitM angrep, som nevnt tidligere.

• HTTPS beskytter på ingen måte måte mot XSS eller SQL-injection, ei heller mot andre typer virus/malware eller hva det måtte være, det eneste HTTPS gjør er å kryptere dataene i transportlaget.

• Det Chrome/Firefox gjør er å varsle om usikret innhold, altså bilder, scripts og annet som er lastet over HTTP der hvor selve siden er lastet med HTTPS, nettopp fordi det er en sikkerhetsrisiko, det har ingenting med hvordan man legger igjen e-post i skjemaer å gjøre.

• HTTPS hjelper ikke for annonsører. Hvorfor vil det være mer sannsynlig at en bruker klikker på en annonse på en side som benytter HTTPS, og hvorfor skulle annonsøren få mer informasjon om brukeren av den grunn.

• Det er nok mange som ser ut til å misforstå hva som er nettsidens ansvar, og hva som er brukerens ansvar.

  Det er ikke en nettsides ansvar å beskytte brukerens privatliv på en slik måte at andre på samme nettverket eller i samme husholdet ikke kan lese brukerens internetthistorikk eller se hva en bruker leser på nettet.

  Dette er ene og alene brukerens ansvar, og bør ivaretas av hver enkelt ved å kryptere sin egen trafikk, benytte inkognitofaner osv. dersom man føler behov for det.

  Nettsidenes ansvar er å påse at sensitiv informasjon de forespør sendes kryptert og således beskyttes, ikke å kryptere alt fordi brukere ønsker mer privatliv.

Det er altså slik at ikke alle nettsider trenger HTTPS, og de som ser ut til å tro at alt bør krypteres tar etter min mening grundig feil.

Det aller meste som nevnes i denne diskusjonen beskyttes enten ikke av HTTPS, trenger ikke beskyttes, eller er ikke nettsidens ansvar å beskytte.

[0laf]

 

Enten så vet du ikke hva du snakker om, eller du har du en veldig oppfinnsom definisjon av sensitiv informasjon. For opplysninger om blant annet helseforhold, seksuelle forhold og medlemskap i fagforeninger regnes som sensitive personopplysninger. Dette er jo nettopp informasjon man legger inn i fradragsveilederen. 

 

Hva folk frivillig legger ut på facebook er irrelevant. 

 

 

Uansett hva du svarer på i Fradragsveilederen så er du anonym og det er frivillig, og dataene lagres heller ikke.

 

Det er rett og slett et søkeskjema for å finne relevante fradrag, og for Skatteetatens del er du fullstendig anonym.

De har ingen måte å vite hvem du er, å så lenge en opplysning/vurdering ikke kan knyttes til en person så vil det aldri anses som en sensitiv personopplysning.

Endret 12. desember 2016 av adeneo

[quantum]

 

Det er helt korrekt, men det står du jo fritt til å gjøre uansett, for eksempel ved å ikke benytte trådløse aksesspunkt du ikke har kontroll over, eller ved å sende all trafikken din gjennom en VPN.

 

Hvorfor skal Skatteetaten, som ikke behandler det de anser som sensitiv informasjon på sine nettsider, kryptere trafikken kun fordi du er paranoid.

 

 

 

Det er jo et meget godt spørsmål, som vi kan snu litt på; hvorfor skal Skatteetaten, som skal betjene landets befolkning, forutsette at alle brukere har samme kunnskap som deg? Hvor mange av Skatteetatens brukere vet hva VPN er, tror du? Hvor mange kjenner risikoen ved å bruke åpne trådløse nett? 

 

En offentlig informasjonsportal som skal betjene et bredt publikum er nødt til å sørge for tilstrekkelig sikkerhet for alle. Det gjelder _både_ adeneo som leser om fradragsordninger og Sophie Elise, Sigve Brekke eller Odd Reitan som leser f.eks. http://www.skatteetaten.no/no/Om-skatteetaten/Presse/Nyhetsrommet/Pressemeldinger/pressemeldinger-2016/rekordmange-melder-fra-om-skjult-formue-og-inntekt/ 

Endret 13. desember 2016 av quantum

[FraXinuS]

En annen fordel med å bruke https er at man kan begynne å bruke HTTP/2.

[Faller]

 

Noen åpenbare fordeler med bruk av krypterte nettsider:

• Bedre søkemotoroptimalisering
• Innhold på en nettside må nødvendigvis komme fra den faktiske siden (man slipper med andre ord reklame/spam som utgir for å komme fra et kjent medium).
• Beskyttelse mot malware ved at ondsinnende ikke kan legge igjen skript eller kode på en nettside.
• Nettlesere som Chrome og Firefox har begynt/skal begynne med å si ifra om usikre kilder som slik at man ikke legger igjen epost-adressen (eller annen informasjon) i en usikker form.
• For annonsører vil en kunne få flere visninger, mer informasjon om de som klikker på dine annonser og større sannsynlighet for at dine annonser faktisk blir vist der du betaler for å få vist dem frem.
• Og selvfølgelig temaet som har blitt diskutert; uvedkommende kan i mindre grad se hva du surfer på, hvilke artikler du leser og hva du chatter med andre om, og du får større trygghet når du handler på nett for at ingen stjeler kredittkortinformasjonen din.

• Det er riktig at Google benytter HTTPS som et signal i rangering, slik at det kan være en av fordelene ved å benytte HTTPS

• Nei, innhold på en nettside må ikke nødvendigvis komme fra den faktiske nettsiden selv om det sendes over HTTPS. Det er ikke noe problem å inkludere eksterne kilder i en nettside som sendes med HTTPS, ei heller er det noe problem å endre dataene i et MitM angrep, som nevnt tidligere.

• HTTPS beskytter på ingen måte måte mot XSS eller SQL-injection, ei heller mot andre typer virus/malware eller hva det måtte være, det eneste HTTPS gjør er å kryptere dataene i transportlaget.

• Det Chrome/Firefox gjør er å varsle om usikret innhold, altså bilder, scripts og annet som er lastet over HTTP der hvor selve siden er lastet med HTTPS, nettopp fordi det er en sikkerhetsrisiko, det har ingenting med hvordan man legger igjen e-post i skjemaer å gjøre.

• HTTPS hjelper ikke for annonsører. Hvorfor vil det være mer sannsynlig at en bruker klikker på en annonse på en side som benytter HTTPS, og hvorfor skulle annonsøren få mer informasjon om brukeren av den grunn.

• Det er nok mange som ser ut til å misforstå hva som er nettsidens ansvar, og hva som er brukerens ansvar.

  Det er ikke en nettsides ansvar å beskytte brukerens privatliv på en slik måte at andre på samme nettverket eller i samme husholdet ikke kan lese brukerens internetthistorikk eller se hva en bruker leser på nettet.

  Dette er ene og alene brukerens ansvar, og bør ivaretas av hver enkelt ved å kryptere sin egen trafikk, benytte inkognitofaner osv. dersom man føler behov for det.

  Nettsidenes ansvar er å påse at sensitiv informasjon de forespør sendes kryptert og således beskyttes, ikke å kryptere alt fordi brukere ønsker mer privatliv.

Det er altså slik at ikke alle nettsider trenger HTTPS, og de som ser ut til å tro at alt bør krypteres tar etter min mening grundig feil.

Det aller meste som nevnes i denne diskusjonen beskyttes enten ikke av HTTPS, trenger ikke beskyttes, eller er ikke nettsidens ansvar å beskytte.

 

 

1) Da er vi enige om at det er bedre for en nettside å benytte https mtp søkemotoroptimalisering.

2) Hvis innholdet ikke kommer fra en HTTPS-kilde vil nettsiden gå over til standard http og det vil jo nettlesere advare om. 

3) XSS og SQL-injection er din tolkning av det. Det finnes andre muligheter også, selv om de to du nevner er de mest kjente. 

4) Nå var e-post et spesifikt eksempel på hva en bruker kan legge igjen av informasjon på en nettside, enten intensjonelt eller uintensjonelt. Ved bruk av HTTP kan da epost-adressen snappes opp av uvedkommende (ja, det er i utgangspunktet brukeren sitt ansvar å sikre seg, men en nettside vil oppleves som mer brukervennlig ved å tilby bedre sikkerhet)

5) Poenget er at annonsene faktisk blir vist der det betales for å vise dem. I tillegg tilbyr HTTP/2 ny funksjonalitet som ikke støttes i HTTP1/1. 

6) Hva som spesifikt er nettsidens ansvar er en ting, men en annen ting er hva som er god praksis for sine kunder/brukere. Et annet aspekt er hvordan en nettside kan laste raskere ved å bruke HTTP/2. 

 

 

I likhet med det quantum spør over; hvor mange i norge vet konkret hva en VPN er og ikke minst hvordan bruke det? 

[tommyb]

 

 

Uansett hva du svarer på i Fradragsveilederen så er du [1] anonym og det er frivillig, og [2] dataene lagres heller ikke.

 

 

Både 1 og 2 er da fullstendig irrelevant hvis man blir avlyttet? Det er trafikken av data som overvåkes, og uten VPN er man overhodet ikke anonym, med VPN er man i beste fall vanskeligere å identifisere, gitt at avlyttingen skjer langt fra brukeren. Og dersom man overvåker den totale trafikken er man overhodet ikke anonym.