Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Endast HTTPS

Tips på verktyg och tekniker som gör att du håller dig till HTTPS.

Att skicka känslig information såsom inloggningsuppgifter eller sessionscookies över HTTP är som bekant förenat med säkerhetsrisker. Detta är ingen nyhet. Firefox-tillägget Firesheep har den senaste tiden framgångsrikt påvisat dessa risker och givit dem medialt utrymme. Även verktyg som sslstrip har pekat på brister i befintlig teknik.

Webbplatser som konsekvent skickar känslig information över HTTP är uppenbart sårbara för s.k. "man-in-the-middle"-attacker. Även webbplatser som går att nå över HTTPS är i riskzonen. Vissa webbplatser dirigerar visserligen om från HTTP till HTTPS, men minst en förfrågan går trots det ofta över HTTP då alla användare av en eller annan anledning inte har för vana att direkt besöka HTTPS-sidan.

För att undvika sådana och liknande situationer måste användarens webbläsare (eller motsvarande klient) på förhand veta om en webbsida skall vara krypterad.

I dagarna lanserade EFF en ny version av Firefox-tillägget "HTTPS Everywhere". Tillägget som är resultatet av ett samarbete med Tor-projektet ämnar att försvåra just sessionskapning, men även generell avlyssning. "HTTPS Everywhere" gör detta genom att skriva om vanliga HTTP-förfrågningar till HTTPS. För att omskrivningen skall fungera för en viss webbplats måste det finnas regler uppsatta i "HTTPS Everywhere" för webbplatsen ifråga. I dagsläget finns det stöd för en rad sajter däribland Twitter, Facebook och Wikipedia.

Utöver "HTTPS Everywhere" finns även mer generella lösningar, en är HSTS ("HTTPS Strict Transport Security"). HSTS som för närvarande finns som IETF Internet Draft är ett tillägg till HTTP-protokollet. Tillägget består av HTTP-svars-"headern" "Strict-Transport-Security". Med svars-"headern" kan en server kommunicera en policy (över HTTPS såklart) till en klient om och hur länge den aktuella webbplatsen endast går att nå på ett säkert vis. Klienten i sin tur måste ha implementerat stöd för HSTS för att det skall fungera. En klient som följer en webbplats policy måste skriva om alla URI:ers schema från HTTP till HTTPS innan URI:erna laddas. Dessutom måste klienten avbryta uppkopplingar mot servern där fel uppstår, såsom certifikat-varningar.

På klientsidan finns HSTS implementerat i Google Chrome, Firefox-tilläggen NoScript och Force-TLS samt i kommande Firefox 4.

En begränsning i HSTS är att den allra första förfrågan mot en webbplats måste ske över HTTPS, för att informationen skall vara tillförlitlig. För att undvika att ramla tillbaka till ruta ett nämner HSTS-utkastet ett par lösningar. Ett av lösningsförslagen är implementerat i Google Chrome i form av en s.k. "Preloaded HSTS"-lista. Webbläsaren kommer helt enkelt förladdad med en lista på domäner som är konfigurerade för HSTS.

Det återstår att se om ytterligare leverantörer väljer att implementera HSTS i sina webbläsare, eller om någon annan teknik kommer vinna mark framöver.

Har du frågor eller funderingar? Kontakta då gärna oss på Sitic. Kontaktuppgifter finns under Om Sitic.