Harald Brombach (digi.no) Skrevet 10. desember 2016 Del Skrevet 10. desember 2016 Ny norsk undersøkelse.Mange norske nettbutikker fortjener fortsatt strykkarakter for sikkerheten Lenke til kommentar
GitKenneth Skrevet 10. desember 2016 Del Skrevet 10. desember 2016 Syns det er hakket verre at Skatteetaten fortsatt kjører ukryptert. http://www.skatteetaten.no/ Lenke til kommentar
siDDis Skrevet 10. desember 2016 Del Skrevet 10. desember 2016 (endret) Den einaste unnskyldningen for å ikke ha https er mangel på kunnskap, det er ikkje pris, tid eller andre ting som ein kan unnskylde seg med. Endret 10. desember 2016 av siDDis Lenke til kommentar
0laf Skrevet 10. desember 2016 Del Skrevet 10. desember 2016 Her var det mye rart ? 33 prosent av de testede nettbutikkene nå er helt krypterte. Det er jo vel og fint at flere benytter SSL/TLS på hele nettsiden, men er det ikke slik at kryptert forbindelse egentlig bare har noe for seg når man sender sensitive data, altså i selve betalingsløsningen? Andelen av nettbutikkene som ber om fødselsnummer i et skjema som sendes ukryptert, har underlig nok vokst fra 26 til 28 prosent Fødselsnummer er vel fremdeles ikke sensitiv informasjon ? Graver man litt i disse resultatene, ser man at kryptert kasser ville vært mulig for 57 prosent av butikkene, og at bare 20 prosent ville samlet inn fødsels/personnummer på usikre sider, Hvorfor ville ikke krypterte kasser være mulig for alle butikkene ? Og hva menes med "kasse", de fleste nettbutikker har jo en "kasse" hvor man ser en oppstilling av varene man har "kjøpt", dette er vel heller ikke sensitiv informasjon, det er kun når man kommer til betalingen at det dreier seg om sending av skjemaer som inneholder sensitiv informasjon som kredittkortopplysinger?Har Pettersen testet betalingsløsningene, slik han burde gjort, og er det slik at over 70% av norske nettbutikker benytter betalingsløsninger som er ukryptert? Jeg ville tro at de fleste nettbutikker benytter løsninger fra Stripe, Nets, Dibs osv. som er sikre. Med betalingsløsninger fra tredjepart som benytter SSL/TLS, trenger strengt tatt ikke hele nettbutikken å benytte HTTPS for å være regnet som "sikker", selv om det selvfølgelig er å foretrekke at hele butikken benytter nettopp HTTPS ? Lenke til kommentar
tommyb Skrevet 10. desember 2016 Del Skrevet 10. desember 2016 "45 prosent av nettbutikkene har kryptert kasse". Det er nedslående. Men hvor mange har delvis kryptert kasse, der det kun er ukrypterte bilder som trekker ned? Ved at Firefox og Chrome øker presset for at alt innhold skal gå over HTTPS, er jeg redd for at det kan ha en desentifiserende effekt på brukere. Desto oftere man får advarsler, desto mindre inntrykk gjør de - og for store deler av nettet som ikke knyttet til handel eller diskusjoner er sertifikater knapt verd arbeidet. På min egen site logger jeg på med et egetsignert sertifikat som nettleseren forteller meg betyr at siden min er fryktelig, fryktelig slem. Dette innlegget er skrevet over HTTP, men akkurat her hadde jeg gjerne sett at det var HTTPS. Dette nettverket er et viktig lite tannhjul i den norske demokratiske debatten. Lenke til kommentar
hakontdal Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 Syns det er hakket verre at Skatteetaten fortsatt kjører ukryptert. http://www.skatteetaten.no/ Veldig rart! Eg tenkte at kanskje HTTPS Everywhere frå EFF.org skulle løysa dette, en nei. Så prøvde eg å sjå på chrome://net-internals/#hsts men heller ikkje der kom eg i mål. Om du går til https://skatteetaten.no og er på https, kan du trykka "Personvern og sikkerhet" nedst på sida. Vips er du over i http://skatteetaten.no og om du ikkje oppdagar det, vil andre kunne ha innsyn i kva du les på skatteetaten si side. Ikkje bra! Dette burde løysast! :-( Lenke til kommentar
0laf Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 ...og om du ikkje oppdagar det, vil andre kunne ha innsyn i kva du les på skatteetaten si side. Ikkje bra! Dette burde løysast! :-( Hvordan får andre innsyn i hva du leser, og hvorfor er det et problem ? Skatteetaten dot no inneholder vel bare generell informasjon, i det øyeblikket du skal ha tilgang til personlig informasjon må du gjennom IDporten med to-faktor autentifikasjon og videre til Altinn? Lenke til kommentar
TheDarkSycamore - SCM Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 Den einaste unnskyldningen for å ikke ha https er mangel på kunnskap, det er ikkje pris, tid eller andre ting som ein kan unnskylde seg med. Helt enig med deg siD, at det er mangel på kunnskap. Lenke til kommentar
quantum Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 Hvordan får andre innsyn i hva du leser ... Det vet du jo like godt som alle andre, så når du stiller det spørsmålet stiller du deg selv i et ganske merkelig lys. 2 Lenke til kommentar
0laf Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 (endret) Det vet du jo like godt som alle andre, så når du stiller det spørsmålet stiller du deg selv i et ganske merkelig lys. Hadde jeg vist det, hadde jeg ikke spurt, men det er godt at du vet det, slik at du kan forklare det for meg. Dersom jeg besøker Skatteetaten sine nettsider akkurat nå, uten SSL/TLS, hvordan i alle dager kan andre se hva jeg leser, og dersom de skulle kunne se hva jeg leser, hvilken rolle spiller det ? Endret 11. desember 2016 av adeneo Lenke til kommentar
Lixxon Skrevet 11. desember 2016 Del Skrevet 11. desember 2016 Derfor er det kjekt med postoppkrav =) null kortinformasjon Lenke til kommentar
quantum Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 Det vet du jo like godt som alle andre, så når du stiller det spørsmålet stiller du deg selv i et ganske merkelig lys. Hadde jeg vist det, hadde jeg ikke spurt, men det er godt at du vet det, slik at du kan forklare det for meg. Du forstår altså ikke poenget med https, rett og slett? Jaja ... vi får bare jatte med og henvise deg hit da: https://en.wikipedia.org/wiki/Man-in-the-middle_attack 1 Lenke til kommentar
0laf Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 (endret) Spørsmålet var veldig enkelt, hvordan kan andre se hva jeg leser, og hvilken rolle spiller det ? Du hevder helt korrekt at noen kan se hva jeg leser på Skatteetaten gjennom et MitM angrep, men Skatteetaten dot no inneholder kun statiske informasjonssider, alle sensitive data finnes på et annet domene, Altinn. Jeg skulle like å vite hvilken fordel et TLS sertifikat på Skatteetaten dot no ville hatt, og hvorfor det er et problem at noen ser hva jeg leser på Skatteetatens sine nettsider. Jeg forstår altså ikke poenget med https for sider som ikke sender sensitiv informasjon, men jeg hadde satt pris om du forklarte det for meg? Hvorfor ville det være et problem dersom en "mann i midten" kunne se at jeg leser Skatteetatens helt åpne artikkel om vrakpant for kjøretøy for eksempel ? Så er det jo slik at er man først utsatt for et MitM angrep, så har man sannsynligvis langt større problemer enn at noen ser at du leser generell informasjon på nettet om skatteordninger. Dersom man faktisk er mannen i midten, så kan man forøvrig også over https se deler av URL'en, og normalt forholdsvis enkelt gjette seg frem til resten ved å se på "lengder" her og der, og så selv besøke den samme nettsiden for å se hva jeg leser, https hjelper lite mot akkurat dette, og det ville ikke være så veldig mye vanskeligere å finne ut hvilken adresser jeg besøker i nettleseren min uavhengig av om nettstedet benytter SSL/TLS. Videre finnes det måter å omgå https ved MitM angrep ved å benytte SSL-stripping, slik at generelt sett beskytter ikke https mot MitM i alle tenkelige tilfeller, ettersom mannen i midten i de fleste tilfeller kan lure nettleseren til å sende dataene ukryptert uansett, slik at sensitive data blir synlig for angriperen, men det er vel litt off-topic ettersom Skatteetaten dot no altså ikke ber om sensitive data, og har fint lite de trenger å beskytte. Endret 12. desember 2016 av adeneo Lenke til kommentar
tommyb Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 (endret) Spørsmålet var veldig enkelt, hvordan kan andre se hva jeg leser, og hvilken rolle spiller det ? Du hevder helt korrekt at noen kan se hva jeg leser på Skatteetaten gjennom et MitM angrep, men Skatteetaten dot no inneholder kun statiske informasjonssider, alle sensitive data finnes på et annet domene, Altinn. Jeg skulle like å vite hvilken fordel et TLS sertifikat på Skatteetaten dot no ville hatt, og hvorfor det er et problem at noen ser hva jeg leser på Skatteetatens sine nettsider. Jeg forstår altså ikke poenget med https for sider som ikke sender sensitiv informasjon, men jeg hadde satt pris om du forklarte det for meg? Hvorfor ville det være et problem dersom en "mann i midten" kunne se at jeg leser Skatteetatens helt åpne artikkel om vrakpant for kjøretøy for eksempel ? Så er det jo slik at er man først utsatt for et MitM angrep, så har man sannsynligvis langt større problemer enn at noen ser at du leser generell informasjon på nettet om skatteordninger. Dersom man faktisk er mannen i midten, så kan man forøvrig også over https se deler av URL'en, og normalt forholdsvis enkelt gjette seg frem til resten ved å se på "lengder" her og der, og så selv besøke den samme nettsiden for å se hva jeg leser, https hjelper lite mot akkurat dette, og det ville ikke være så veldig mye vanskeligere å finne ut hvilken adresser jeg besøker i nettleseren min uavhengig av om nettstedet benytter SSL/TLS. Videre finnes det måter å omgå https ved MitM angrep ved å benytte SSL-stripping, slik at generelt sett beskytter ikke https mot MitM i alle tenkelige tilfeller, ettersom mannen i midten i de fleste tilfeller kan lure nettleseren til å sende dataene ukryptert uansett, slik at sensitive data blir synlig for angriperen, men det er vel litt off-topic ettersom Skatteetaten dot no altså ikke ber om sensitive data, og har fint lite de trenger å beskytte. Mistenker du allerede vet dette, men jeg vil spesifisere dersom det er noen som lurer. Dersom du sender informasjon til og fra en nettside som f.eks. skatteetaten.no over http, kan noen med tilgang til en datamaskiner/annen enhet på ditt LAN, kanskje inklusive naboen hvis han har hacka trådløsnettet ditt, noen med tilgang til rutere og modem i ditt hus, noen med tilgang til enheter i distribusjonsettet gjennom din ISP, noen med tilgang til kjernenettet inklusive svensk overvåkning dersom du har internett i Nord-Norge, eller noen med tilgang til den delen av skatteetatens nettverk der serveren står, avlytte denne trafikken. Informasjonen går i klartekst. Dersom man sitter på en IT-sal på skolen eller dersom man gir gjester mobiltilgang til det primære trådløse nettet hjemme, kan de dette. De kan altså se hvilke sider du besøker, og hvilke post- og get-data du sender, inklusive et eventuelt passord (som ikke gjelder på skatteetaten, siden de ikke har noen passordfelt tilgjengelig over http). Og det skal være relativt enkelt, og krever ikke annet enn å starte programvare. Hvis du bruker HTTPS, vil i utgangspunktet hverken post- og get-data være trivielt avlesbart, og heller ikke sideforespørslene. Det man da kan se er at du har koblet opp mot adressen. Jeg skal ikke si at det ikke går an å gjennomføre vellykkede MitM-angrep på https, men det skal mer til enn bare å ha en tilfeldig tilgang til nettverket. Jeg er ikke kategorisk på at informasjonen fra skatteetaten er sensitiv informasjon, men det kan være sensitive elementer. For eksempel dersom du søker på informasjon om helsefradrag m.m. Videre er det mange mennesker som mener at stort sett alt tilknyttet økonomi er sensitiv informasjon, så for dem vil det være en forventning om at metainformasjon om deres uthenting av informasjon er sensitiv informasjon. Endret 12. desember 2016 av tommyb 1 Lenke til kommentar
Harald Brombach (digi.no) Skrevet 12. desember 2016 Forfatter Del Skrevet 12. desember 2016 Mistenker du allerede vet dette, men jeg vil spesifisere dersom det er noen som lurer. Dersom du sender informasjon til og fra en nettside som f.eks. skatteetaten.no over http, kan noen med tilgang til en datamaskiner/annen enhet på ditt LAN, kanskje inklusive naboen hvis han har hacka trådløsnettet ditt, noen med tilgang til rutere og modem i ditt hus, noen med tilgang til enheter i distribusjonsettet gjennom din ISP, noen med tilgang til kjernenettet inklusive svensk overvåkning dersom du har internett i Nord-Norge, eller noen med tilgang til den delen av skatteetatens nettverk der serveren står, avlytte denne trafikken. De kan altså se hvilke sider du besøker, og hvilke post- og get-data du sender, inklusive et eventuelt passord (som ikke gjelder på skatteetaten, siden de ikke har noen passordfelt tilgjengelig over http). Vil bare skyte inn at MitM-angrep ikke bare åpner for å avlytte, men også om å manipulere dataene som sendes fram og tilbake. Det åpner for en god del muligheter utover å kunne se hvilke statiske sider en bruker besøker. Folk kobler ofte enheten sin ukrisk til nett via åpne WiFi-soner på flyplasser etc (kanskje sonen som egentlig tilbys av personen som sitter ved nabobordet i loungen). Da har skurken full tilgang til offerets ikke-krypterte forbindelser. HTTPS er ikke nødvendigvis nok (som vi omtaler her http://www.digi.no/artikler/https-ikke-er-sikkert-nok-alene-her-ser-du-hvorfor/359527 - Digi Ekstra), men gjør det i alle fall mer krevende å manipulere trafikken. 1 Lenke til kommentar
0laf Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 (endret) Hvis du bruker HTTPS, vil i utgangspunktet hverken post- og get-data være trivielt avlesbart, og heller ikke sideforespørslene. Det man da kan se er at du har koblet opp mot adressen. Jeg skal ikke si at det ikke går an å gjennomføre vellykkede MitM-angrep på https, men det skal mer til enn bare å ha en tilfeldig tilgang til nettverket. Det er helt korrekt, HTTPS er i utgangspunktet sikkert, men har man først fått tilgang til en av de punktene du nevner, altså et eller annet sted i nettverket mellom klient og server, så har man som Harald skriver over her også tilgang til å manipulere alle data som går begge veier i det nettverket, og det siste man bør bekymre seg for er at noen kan se at du leser trivielle artikler om skatt. Det er minst like trivielt å strippe SSL, eller HTTP-downgrading som det også kalles, som det er å sette opp MitM angrepet i utgangspunktet, Moxie har jo til og med skrevet et lite verktøy som nærmest automatiserer dette, slik at generelt sett beskytter HTTPS fint lite mot MitM angrep. Skal Skatteetaten sikre seg mot noe slikt, må Skatteetaten innføre site-wide HSTS eller noe lignende, og det er jo totalt unødvendig for en slikt nettside, det blir som å kreve innlogging med bankID for å kunne lese artiklene på Digi. Endret 12. desember 2016 av adeneo Lenke til kommentar
hakontdal Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 Skal Skatteetaten sikre seg mot noe slikt, må Skatteetaten innføre site-wide HSTS eller noe lignende, og det er jo totalt unødvendig for en slikt nettside, det blir som å kreve innlogging med bankID for å kunne lese artiklene på Digi. For min del, hadde det vert heilt klart best om skatteetaten.no hadde brukt HSTS. Og for den del, kunne digi.no også med fordel tilbudt https. Eg ønskjer i størt mogeleg grad å kunna stola på at det eg les på sida til ein aktør, er uendra, og utan at eg treng å forklara meg for deg, så ønskjer eg at ingen andre har innsyn i kva for statisk informasjon eg les på sida til skatteetaten. 2 Lenke til kommentar
0laf Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 (endret) Løsningen Eg ønskjer i størt mogeleg grad å kunna stola på at det eg les på sida til ein aktør, er uendra, og utan at eg treng å forklara meg for deg, så ønskjer eg at ingen andre har innsyn i kva for statisk informasjon eg les på sida til skatteetaten. Løsningen på det bør være innlysende, betal en femtilapp i måneden for en god VPN tjeneste, så er det strengt tatt ingen, ikke en gang ISP'en din, som kan se hva du leser. Dette sikrer dog ikke nettverket mellom VPN serveren og nettsiden du besøker, ei heller selve serveren osv. men det sikrer i det minste din del av nettverket, som tross alt er den delen som generelt sett utsettes for MitM angrep. Endret 12. desember 2016 av adeneo Lenke til kommentar
quantum Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 Spørsmålet var veldig enkelt, hvordan kan andre se hva jeg leser, og hvilken rolle spiller det ? Det første her har du jo faktisk klart å svare på selv, og "rollen" avgjøres selvfølgelig av hvem som leser hva. Lenke til kommentar
0laf Skrevet 12. desember 2016 Del Skrevet 12. desember 2016 (endret) Det første her har du jo faktisk klart å svare på selv, og "rollen" avgjøres selvfølgelig av hvem som leser hva. Det er hyggelig at du endelig ser ut til å forstå poenget, for "rollen" avgjøres nettopp av hvem som leser hva. I dette tilfellet er det spesifikt snakk om Skatteetatens nettsider, som inneholder generell åpen informasjon alle kan lese og mindre sensitive data enn bloggen til Sophie Elise. Jeg venter dog fremdeles et svar på akkurat hvilken nytte et TLS sertifikat på Skatteetaten dot no skulle ha, men det eneste jeg ser ut til å få av deg er defleksjoner og nye irrelevante spørsmål. Endret 12. desember 2016 av adeneo Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå