Washington Post har lagt om sine sider til å kjøre HTTPS som standard, med EV-SSL sertifikat og har begynt å klargjøre for CSP. Totalt gresk? Les videre!
1) HTTPS gjør at kommunikasjon mellom din nettleser og deres websider blir kryptert. Nå kan ikke mor & far, arbeidsgiver, kolleger eller utenforstående lengre se hvilke artikler du leser eller hvilke tips du sender inn til WSJ. Personvern for leserne med andre ord, i tillegg til eksisterende kildevern.
2) EV-SSL sertifikat. Koster litt mer, øker tilliten hos de paranoide (en økende brukermasse!), og gir grønn adresselinje.
3) Content Security Policy (CSP). For deg som skal servere innhold – og reklame – betyr det at du forteller nettleseren til dine lesere hvilket innhold de skal se, og hvor dette skal komme fra på nettet.
Riktig implementert forhindrer det at ulike reklamenettverk, hoteller, kafeer og andre med åpne trådløse nettverk «kaprer» reklameplass på din nettside som du ikke vil få betalt for.
Det reduserer også faren for at dine lesere får virus på sine maskiner når de skal besøke din nettside, dersom det har betydning for deg. Tenk omdømmerisiko her!
Det virkelig interessante i denne første bloggposten fra Washington Post om hvordan de har gjort dette skiftet over en periode på 10 måneder er at de største utfordringene har vært reklameleverandørene:
Dårlig sikkerhet generelt, samt endringer i kampanjer som ikke er avtalt, planlagt eller informert om på forhånd. CDN (Content Delivery Networks) pekes også på som en utfordring; gamle modeller endres ikke over natten så lenge de tjener penger på dem.
Interessant bloggpost, om enn rimelig teknisk, men jeg ser frem til flere poster fra dem om temaet. Dette er den veien det går for både media og mange andre bransjer på nett, ledet an av gigantene innen sosiale medier.
Les mer hos Washington Posts utviklingsblogg.
Dette innlegget ble opprinnelig publisert i Facebook-gruppen «Stort og smått om sosiale medier i Norge», og er gjengitt med forfatterens tillatelse.
Jeg er sterkt positiv til bruk av kryptering (og det bør inn i epost i langt sterkere grad enn i dag – det er der det virkelig behøves!)
Men ikke overdriv forventningene til anonymiteten…. Det må være kjent i nettet, det vil si for en man-in-the-middle (enten det er foreldrene dine, arbeidsgiveren, ISPen, politiet…) hvilket nettsted du besøker – ellers kunne ikke ruterne i nettet funnet fram for å sende deg innholdet. Og da kan andre kontakte samme nettsted og se hva de får tak i der.
Svært ofte oppgir vi også URLen uten https:// foran. Da vet ikke nettleseren at kommunikasjonen skal være kryptert, ikke før nettleseren blir redirigert til en http-URL. Og da kan det allerede være avslørt for en logger hvilke sider du forsøkte å hente fra nettstedet.
Så tiltaket er vel og bra, men for fullt utbytte betinger det at brukerne er bevisste. Bevisstløse bruker blir noe mer anonyme for en logger, men ikke det maksimale. Og helt anonymt blir det ikke uansett: Det kan alltid avsløres at fra din nettilkobling er det hentet in så og så mange nettsider fra hvert enkelt nettsted, selv om innholdet på disse sidene ikke er kjent. (Og å skjule hvilke sider som hentes krever at du konsekvent bruker https:// -prefiks.)
eff.org/HTTPS-EVERYWHERE
HTTPS-EVERYWHERE kan fungere som en slags demo-hack for å vise et konsept, men er ingen fullstendig løsning. Den er nærmest som PGP, som demonstrerte public key -kryptering, men uten I’en (‘Infrastructure¨’) i X.509 PKI.
HTTPS-EVERYWHERE fungerer kun med de browsere det er laget en plugin for, ikke generelt.
Det krever et minimums-snev av hacker-holdning å plukke opp en browser-plugin, og installere den; det er ikke noe du prøver å forklare gamletante hvordan hun gjør.
Det fungerer bare på et begrenset antall nettsteder: Man opererer med en «whitelist» av kjente nettsteder der URLer kan omskrives til https:, og med tildels komplekse regler for hvordan også resten av URLen må omskrives. Les FAQen; den forteller om en del begrensinger.
En MITM kan stadig se hvilke nettsteder du bruker; IP-adressen er synlig. Du kan skjule også den ved å sende alle forespørsler til samme adresse – til en TOR-node. (HTTPS-EVERYWHERE er en felles aktivitet mellom EFF og TOR-prosjektet.) For det første hever det hacker-nivået vesentlig. For det andre betyr det vesentlig høyere latens (‘ping’, for å snakke litt fjortis). For det tredje har mange en viss skepsis til TOR, som ofte blir asossiert med bruk som ikke ansees som samfunnsgavnelig. Jeg forsvarer slett ikke den konklusjonen, men det er en ikke ukjent holdning. (For få dager siden bestemte Frankrike at bruk av TOR ikke skulle gjøres lovstridig – men de vurderte det seriøst!)
Hadde noen hatt myndighet til det, kunne man innført et krav om HTTPS-støtte, slik at problemene med å vite om en omskriving til HTTPS er gyldig (jfr. FAQen) ble unngått. Men selv ikke IETF har myndighet til å pålegge alle nettsteder å støtte HTTPS. Dessuten er det ikke sjelden at nettsteder har elementer som hentes med andre protokoller, og særlig om disse er basert på UDP, ikke TCP, er det sjelden støtte for SSL/TLS-type kryptering.
Det IETF kunne gjøre, var å utvikle en helt enkel UDP-basert protokoll: En forespørsel til en IP-adresse: «Hvilke protokoller støtter du?» Så kunne nettstedet svare med ei liste, eller et bitkart, over støttede protokoller. En melding fram, en tilbake; kosten er epsilon i tredje. (Det er lenge siden jeg jobbet med RFCer; dengang fantes det ingen slik protokoll, men kanskje den har kommet til nå. I så fall burde HTTPS-EVERYWHERE benytte den!) Å føre denne opp på lista over grunnleggende protokoller, i praksis: «Standards track», ville ikke være noe krav om implementering, men et ganske sterkt press! Da kunne nettlesere advare dersom et nettsted ikke støttet https, og bruke https som default protokoll dersom nettstedet har støtte.
Skal sikkerhet bli akseptert blant folk flest, må det komme som en standard, og det må ikke kreve noe hacker-nivå nedlasting og installasjon av plugins etc.
Fortsatt ville IP-adressen være synlig for en MITM, om man ikke benytter TOR (og det betinger et visst hacker-nivå), og ulike former for trafikkanalyse er mulig. Så du har bare begrenset beskyttelse, selv med HTTPS-EVERYWHERE. Skal du ha full beskyttelse må du bruke TOR, og akseptere høyere latens.
WWW er en ingenting annet enn helvetesmaskin som straffer deg urimelig hardt hvis du ikke er «det perfekte mennesket». Derav alle de konservative og religiøse tullingene som dukker opp for tiden.
Kryptering vil skyve på, ikke løse, dette grunnleggende problemet.
EV-SSL er vel like nyttig og verdt pengene som de ultradyre superkvalitetshispeed gold-plated HDMI/nettverkskablene fra Monster.
Hurra for letsencrypt.org/!
WWW er bare hellfire-maskin som hindrer deg irrasjonelt hardt på sjansen for at du ikke er «den ideelle personen». Derfor alle tradisjonelle og religiøse tradisjoner som dukker opp på tid. Kryptering vil presse, ikke ta vare på dette grunnleggende problemet.