nrk.no

Vi slår på kryptering for NRK.no

Kategorier: NRK & Sikkerhet

Fra i dag leveres hele NRK.no over en kryptert forbindelse. Illustrasjon: System Lock av Yuri Samoliov på Flickr (CCBY2.0)

I dag slår vi på kryptering for NRK.no – en viktig endring som styrker sikkerheten og påliteligheten til NRKs nettsider.

De siste årene har kryptering blitt stadig mer vanlig, og de fleste store aktører, som Google, Facebook og Twitter kjører krypterte forbindelser mellom alle sine tjenester og dine enheter.

De fleste store nettlesere viser en grønn hengelås hvis forbindelsen mellom nettsiden og nettleseren er kryptert.
De fleste store nettlesere viser en grønn hengelås hvis forbindelsen mellom nettsiden og nettleseren er kryptert.

NRK.no har lenge hatt transportkryptering for tipssidene, men i dag slår vi som det første store norske mediehuset på kryptering for hele vårt nettsted. Vi følger altså i fotsporene til Morgenbladet, som har vært kryptert siden januar i år.

Edward Snowden får mye av skryten (og skylden) for at kryptering har skutt fart på nettet.

Snowdens avsløringer viste at NSA og samarbeidende etterretningstjenester samler opp store deler av den verdensomspennende nettrafikken, og systematiserte informasjonen for å lage et enormt masseovervåkningssystem. En enkel måte å sikre seg mot å havne i denne enorme overvåkningsfella er å kryptere all trafikk. Og i følge en rapport utarbeidet av Sandvine i 2015, er nå majoriteten av nettrafikk kryptert.

Hva betyr det for deg?

At NRK.no nå har aktivert transportkryptering har flere positive fordeler for deg som bruker – først og fremst betyr det at ingen utenforstående kan overvåke innholdet som utveksles mellom din nettleser og våre nettsider.

En bieffekt av dette er at vi nå kan garantere at innholdet du leser på NRKs nettsider faktisk er levert av NRK. For ukrypterte forbindelser er det relativt enkelt for tredjeparter å bytte ut innholdet på populære nettsider med sitt eget. Motivasjonen er vanligvis å lure brukerne til å oppgi personlige brukernavn og passord. Med transportkryptering aktivert, blir dette vesentlig vanskeligere.

I tillegg til tradisjonell transportkryptering, har flere aktører, deriblant Whatsapp og Google, nå skrudd på ende-til-ende kryptering for noen av sine tjenester. Dette betyr at informasjonen også lagres kryptert, noe som er enda et steg som gjør det vanskelig for utenforstående å overvåke deg.

Per i dag er NRK.no, tv.nrk.no, radio.nrk.no, NRKbeta og YR.no kryptert, og vi jobber nå også med å få transportkryptering aktivert på nrksuper.no og p3.no.

Teamet har jobbet med overgangen til HTTPS systematisk og over lang tid. Det mest tidkrevende for NRK.no har vært mengden eksterne integrasjoner i tillegg til egen gammel kode. Når vi nå velger å gå over til sikre sider betyr det ikke at absolutt alt er flyttet, men nok til at vi flytter de eldste og minst brukte delkomponentene i fart etterhvert som vi finner dem.

Dersom du besøker en side med usikret innhold, viser vi deg denne meldinga hvor du kan velge å åpne innholdet i eget vindu:
beklager

Vi sier som Morgenbladet: Svært få av de norske nettavisene har så langt skrudd på transportkryptering, men vi håper at flere snart tar steget.

57 kommentarer

  1. Og dette kommer altså rett etter at Chrome har slått av geolocation for ukrypterte forbindelser. Når man trenger å vite hvor brukerne befinner seg så var det vel ikke noe annet valg.

    Svar på denne kommentaren

  2. Vegard Storstad (NRK)

    Sånn. Da har vi optimalisert redirects internt hos oss, noe som for enkelte brukere skapte trøbbel.

    Om dere fortsatt opplever at NRK.no lugger med HTTPS-overgangen, si fra!

    Svar på denne kommentaren

  3. NRK går foran: Første store mediehus som slår på kryptering som standard – Medier24.com

    […] skriver Henrik Lied og Vegard Storstad i en kommentar på NRK beta, som er NRKs sandkasse for teknologi og nye […]

    Svar på denne kommentaren

  4. Achsel Ford

    Gratulerer. NRK outsmarter NSA/ Prism teknologisk ved hjelp av https:

    «Snowdens avsløringer viste at NSA og samarbeidende etterretningstjenester samler opp store deler av den verdensomspennende nettrafikken, og systematiserte informasjonen for å lage et enormt masseovervåkningssystem. En enkel måte å sikre seg mot å havne i denne enorme overvåkningsfella er å kryptere all trafikk.»

    Enten får dere være ærlige og si det som det er, at https kan være fint mot mye, men tross alt ikke mot NSA, eller la være å omtale slike problemstillinger, for det blir bare pinlig å lese når dere uttaler dere mot bedre vitende. I verste fall gir det en falsk trygghetsfølelse hos brukerne.

    For øvrig spesielt å se at statskanalen her formidler til publikum at det finnes noe betenkelig ved vår mektige alliertes hensikter og metodebruk. Jeg trodde vi var de snille, og at vi stoler på hverandre innad i NATO? Og at den som ikke har noe å skjule heller ikke har vondt av å bli overvåket litt, som fru Brundtland i sin tid sa?

    Hvis NRKs holdning til slike spørsmål allikevel ikke er preget av en ubetinget lojalitet til amerikanske interesser og amerikansk paranoia, hvorfor ikke lage en skikkelig sak på dette hvor dere tar opp ideologiske, politiske, juridiske, etiske og alle andre spørsmål knyttet til temaet, basert på en uredd og ærlig erkjennelse om at det bygges opp et massivt overvåkingssamfunn som ville fått Orwell til å rotere i graven, og at norske myndigheter ser ut til å ha abdisert i alle forsvars-, sikkerhets- og utenriksspørsmål til fordel for US og EU?

    Svar på denne kommentaren

    • Achsel Ford (svar til Vegard Storstad)

      Hva jeg mener tror jeg du forsto, og for øvrig var ikke sitatet fra artikkelen spesielt krystallklart heller. Men ok, jeg tenker det greier seg med ett spørsmål:

      Er dere helt sikre på at https-protokollen hindrer at noen «havner i denne gigantiske overvåkingsfella», som dere kaller det?

    • Achsel Ford (svar til Vegard Storstad)

      Et ja-eller-nei-svar holder lenge foreløpig.

      Dersom svaret er «nei» er vi enige, og dere må rette opp i artikkelen.

      Dersom svaret er «ja, m/ forbehold x og y» viser det i seg selv at formuleringen fra artikkelen kan bestrides slik den i sin uklarhet står nå, og jeg har antakelig flere spørsmål.

      Dersom svaret er et ubetinget «ja», aner dere enten ikke hva dere snakker om (veldig lite sannsynlig), eller avsnittet er en bevisst forledende formulering myntet på mindre teknisk interesserte lesere.

      ———————-

      Flere andre kommentarer her kaster lys over ting som i seg selv bestrider det som høres ut som en generell forsikring mot å bli overvåket av NSA når man leser på nrk.no
      NSA/ Prism har som ambisjon og uttalt mål og ambisjon å kunne fange opp og avlese absolutt all elektronisk kommunikasjon i verden og innholdet på alle lagringsmedier som er koblet til et system med nettilgang. Jeg tror med all respekt det jobber noen hackere og programmerere i NSA som kanskje er hakket mer kompetente enn Dagbladets journalister.

      Til de som ikke forstår hva dette gjelder: Problemet med NSA og samarbeidende tjenesters muligheter til overvåking og kontroll hinsides demokratisk styring eller behov/ krenkelse av den private sfære, løses ikke med https. NRKs kvikke, upresise formulering kan gi inntrykk av det motsatte. Den som gidder kan evt. spekulere videre på hvorfor det er så viktig å få være uklar på dette.

    • Achsel Ford (svar til Achsel Ford)

      Shit, her gikk det fort i svingene. Stryk en «ambisjon» og bytt ut «Dagbladet» med «NRK». Sorry.

    • Alf P. Steinbach (svar til Achsel Ford)

      Så vidt jeg husker står det utplassert en boks / et sett av bokser, kalt en «VDI-sensor», hos NRK, og den overvåker all trafikk på NRKs lokale nett og sender det som NSM måtte mene er relevant, til NSM (Norsk Sikkerhetsmyndighet). Jeg mener at det er naivt å tro at NSM ikke samarbeider med våre amerikanske venner. Da blir det som indikeres i artikkelen om at kryptering hjelper mot NSA sin totalovervåking av ting, ganske meningsløst.

      NRK kastet ut VDI-sensoren(e) i 2010, men tok dem tilbake i 2014.

      Er det noen som har målt hvor mye trafikk som flyter mellom boksen(e) hos NRK, og NSM?

      nrk.no/ytring/elektronisk-kildevern-i-nrk-1.11941196

    • Der har du et kroneksempel på det jeg påpekte i et innlegg plassert et stykke lenger nede: HTTPS fungerer kun fram til husveggen. Når mottakeren har meldingen i hånden er den utenfor HTTPS-beskyttelse.

      Takk for kildereferansen – jeg var ikke klar over dette. Artikkelen blir bevart i mitt arkiv over gode grunner til å være forsiktig med hva du sender fra deg.

    • Vegard Storstad (NRK) (svar til Lars-Erik Østerud)

      Hei Lars-Erik,

      Det tror jeg Opera best må kommentere selv, siden jeg ikke kjenner hvordan deres nettleser komprimerer innholdet.

  5. Tor Valberg

    Opplever «blank» side ved bruk av «Tilbake»-tasten i appen..(Iphone). Må trykke på Forsidesymbolet for å komme tilbake – og da havner jeg selvfølgelig helt «øverst» igjen….og må scrolle til der jeg var… Irriterende…

    Svar på denne kommentaren

    • @LarsMDG (svar til Pål)

      Kan være det har blitt spurt om, men gjelder det om man bruker appene deres også?

  6. Rolf Tandesen

    Unteressant/dårlig journalistikk og 10 år på etterskudd. Lager man sak fordi man har kjøpt et SSL-sertifikat på egen nettside? Er det en nyhet? Det er nesten skammelig at dette ikke har vært på plass før. Vi lever i 2016, ikke 2002.

    Svar på denne kommentaren

  7. Eivind Hasle Amundsen

    Dere skriver: «At NRK.no nå har aktivert transportkryptering har flere positive fordeler for deg som bruker – først og fremst betyr det at ingen utenforstående kan overvåke innholdet som utveksles mellom din nettleser og våre nettsider.»

    Stemmer virkelig dette?

    Hva med til ip4.io, chartbeat.net, Google og TNS Gallup. Dere sender ikke tilfeldigvis noe til disse? De kan ikke vite noe om hvilke artikler som leses, at de leses eller at jeg leser dem?

    Det er veldig bra at dere skrur på SSL, men dere bør utdype påstanden om at ingen kan overvåke hva som sendes. Riktignok kan man ikke overvåke direkte, men når dere sender informasjon til andre om hva jeg gjør, er innføringen av SSL ikke bare fåfengt – det ligner noe jeg kaller løgn.

    Svar på denne kommentaren

    • Eivind Hasle Amundsen (svar til Vegard Storstad)

      Takk for svaret ditt, Vegard! Jeg liker at dere er åpne og ærlige. Den siden du lenker til er allikevel litt lang og kjip for vanlige folk, så jeg hadde fortrukket det om dere modererte påstanden deres i artikkelen, eller iallfall supplerte den med utdrag fra det du linket til – oversatt for vanlige folk.

      Avataren min, ja 🙂 Det var tider, det!

    • Hei, ifølge Ghostery bruka de
      ChartBeat
      Google analytics
      Linkpuls
      TNS
      New Relic
      Gravatar
      Twitter
      ScoreCard Research Beacon
      Alle vil veta noko om kva eg gjer på NRK.no og nrkbeta.no
      Eg skjønna ikkje kvifor alle dei treng å ha tilgang til info eller veta noko om trafikken på NRK?

  8. Veldig bra at dere nå har fått aktivert TLS!

    Håper dere snart også kommer med ipv6? Sist dere hadde en artikkel om dette, skulle det komme i løpet av høsten 2014.

    Ser forresten at nrkbeta.no har nå fått ipv6-adresse, men beklageligvis er det ikke mulig å få kontakt på denne… Håper dette er noe dere kan fikse opp i ganske kjapt?

    Svar på denne kommentaren

    • keal (svar til Thomas)

      Fra et sikkerhets-synspunkt bør vi være klar over hva IPv6 betyr. Eller rettere sagt: Hvilken beskyttelse mangelen på adresser i IPv4 har av positive effekter! For å få ting til å fungere inntil IPv6 er på plass har vi tatt i bruk en hel bukett med teknikker, av type DHCP og NAT. De er slett ikke utformet i den hensikt å gjøre det vanskelig å identifisere brukeren, men i betydelig grad har de den effekten.

      Med IPv6 kan (og vil) vi gi hver minste lille enhet sin egen, faste IP-adresse. Enhver avlytter kan loggføre hvilke pakker som sendes fra eller til din PC, din mobil, din vekkerklokke, din pulsmåler… Vel, det forutsetter at pakken er ute på et punkt som kan avlyttes, og det er ikke sikkert det gjelder pulsmåleren din. Det er sikkert noen som vil finne på å gjøre pulsen akkurat nå til en status på sin facebook-side…

      Under IPv4, med DHCP, NAT’ing fra bedriftnettett osv. må du konsultere både ISP og bedriftens IT-ansvarlige for å få utlevert logger som gjør deg i stand til å identifisere fra hvilken PC det har vært gjort et par dusin oppslag på mine-bombeopskrifter.no/. Med IPv6 ser man umiddelbart at det kommer fra samme maskin som fire dager tidligere var inne på http://www.IS-requitment.org

      … For å sette det på spissen, selvsagt. Men skal vi være sikkerhetsbevisst, bør vi også være klar over disse effektene av IPv6.

    • Thomas (svar til keal)

      Hei,

      Dette kunne tidligere være et problem, men det er i dag en god del tekniker som gjør at det kan argumenteres med at ipv6 heller gjør det enda vanskeligere å spore deg. Alle store operativsystem har i dag som standard aktivert privacy extensions som gjør at du hele tiden har flere forskjellige ip-adresser som blir byttet ut med jevne mellomrom. Du vil hele tiden få ip-adresser fra samme prefiks, men dette sporer deg bare på samme måte som din eksterne ip-adresse er den som vises i et natet ipv4-nettverk i dag.

      Les f.eks mer i denne artikkelen:
      http://www.networkworld.com/article/2172931/tech-primers/ipv6-will-allow-them-to-track-you-down—not-.html

    • keal (svar til Thomas)

      Tja. I «gamle dager» hadde du 32 bits adresser som du delte med alle andre kunder av samme ISP. (Vel, det kunne være begrenset til kundene innen en region, men stadig ganske mange kunder.) I IPv6 får vi 128 bits adreesser, hvor de øveste 112, eller kanksje 120, bits identifiserer deg statisk og unikt. Så er de laveste 8-16 bits ikke informasjonsbærend3e for identifikasjon av deg. Hurra!

      Det kan hende at de laveste 8-16 adressebitene er de sammen som pulsmåleren din brukte i år er den som kjøleskapet ditt bruker i dag. Begge apparatene er likevel dine. Hvis en avlytter gjør en absolutt 128-bits match, da blir han selvsagt lurt. Er han så naiv, da fortjener han å bli lurt.

      Går du helt tilbake til Internett slik det opprinnenelig var, da var Internett et internett, ikke et intranett: IP var en protokoll for datautveksling mellom heterogene nett . nett med ulike protokoller, adresse-strukturer osv. IP-adressen identifiserte en gateway inn i det nettet. Hadde vi holdt på det, ville IPv4 sine 32 bits vært mer enn tilstrekkelig – og de ville ikke identifiserte en bruker, men et nettverk. Men det utviklet seg til «hver mann sitt eget nettverk», og da fikk vi både mangel på adresser og avsløring av identiteten til mottaker (ihvertfall på maskin-nivå, om ikke nødvendigvis på menneske-nivå). DHCP/NAT førte oss til en viss grad tilbake til noe som ligner mer på at IP-adressen identifiserer et nett (bare «ligner på» – ikke «er»!), men det løses opp igjen med 112-120 bit av IPv6-adressen, uansett om de laveste bitene er tifeldig valgte.

      Slik er livet. Og det blir stadig slikere.

  9. Jonny Jonny

    Dere uttaler følgende :

    Dersom du besøker en side med usikret innhold, viser vi deg denne meldinga:

    Se kart over smuglerruter til Norge for narkotika…. ???

    MENER DERE DET?

    Jeg ble umiddelbart interessert da dette åpner nye markeder for Heroinsmugling til Norge. Dette samt kokain utgjør noen hundre millioner i fortjeneste hvert år. Takk Nrk. Gleder meg til å se dette kartet.

    Svar på denne kommentaren

  10. HTTPS er et kjempeframskritt som tas imot med ovasjoner. Kunne vi nå bare skape en folkebevegelse for kryptert epost, også!

    MEN: Vi skal være bevisst begrensingene. F.eks. kan en avlytter se at jeg nå leser en webside med URL //nrkbeta.no/2016/05/31/kryptering-for-nrkno/, og slutte hva jeg er interessert i; hva slags type stoff jeg studerer. Å stadig oppsøke websider om kryptering kan være LITT følsomt hvis politiet begynner å få minstanke om at du driver med aktiviteter som ikke tåler dagens lys – det vil styrke mistanken. Eller man kan ha moral-«politi» som har lyst til å kartlegge din bruk av nettsteder av en helt annen karakter. URLen kan ikke krypteres: Det blir som å kryptere mottakernavn og gateadresse på konvolutten – posten vet ikke hvor de skal sende brevet.

    Det ER mulig å kun identifisere nettstedet i URLen (men det kommer vi ikke utenom at må være i klartekst), og navigere på nettstedet med å sende oppslagsnøkler som skjemadata, men det har betydelige konsekvenser for f.eks. tilbake-funksjonen, og du får ikke satt opp en tekstlig link til en spesifikk side på nettstedet.

    Så har du naturligvis problemet med at mottakeren alltid vet hva han utveksler med deg. En av de første ‘store’ anonymiserings-tjenestene på Internett, anon.penet.fi, ble brått nedlagt og all informasjon om brukere og trafikk slettet da en dom ga politiet rett til å få innsyn i dataene som koblet f.eks. nicknames til spesifikke epost-adresser.

    Uansett: Begrepet ‘under fire øyne’ er opphevet i alt som har med samfunnstjnester å gjøre. I dag kan en prest bli kastet i fengsel om det avsløres at han i en fortrolig samtale under fire øyne har fått kjennskap til lovbrudd, uten at presten har gått videre til politiet med opplysningene. Hele helsevesenet, også ordinære fastleger, psykologer og psykiatrikere, har tilsvarende pålegg om å bringe videre til politiet informasjon om lovbrudd. (Det er selvsagt ikke snakk om å ha rappet en sjokolade på REMA, men er det så alvorlig at du føler at du må snakke med noen om det, da er fastlegen din omtrent som å gå direkte til politiet med det.) For alle praktiske formål kan man regne alle kommunale, fylkeskommunale og statlige aktiviteter som at «Det én vet, vet alle». Taushetsplikt gjelder kun ut av det offentlige apparatet, ikke internt.

    NRK er i et grenseland, men jeg mistenker sterkt at terskelen for å gi politiet innsyn i kommunikasjonen er noe lavere enn hva den vil være f.eks. hvis politiet går til Amnesty og ber om innsyn i elektronisk kommunikasjon.

    HTTPS beskytter KUN mot avlytting «i farta» av innholdet i en melding, ikke i URLen. Og så snart meldingen har kommet fram og ligger hos mottakere, er HTTPS ferdig utført; da beskytter den ikke mer.

    Svar på denne kommentaren

    • Kristoffer (svar til keal)

      Det stemmer ikke at HTTPS ikke skjuler URLen som aksesseres. Men det er mulig du tenker på domene-/hostnavnet? Noen som avlytter en TLS-sesjon vil kunne se hvilken DNS-/IP-adresse en nettleser kobler seg opp mot, og hvilket SSL-sertifikat denne webserveren leverer fra seg under handshake med nettleseren. Fra det kan det avsløres at det er nrkbeta.no eller nrk.no noen er inne på, men ikke hvilken URL (artikkel, etc) som hentes. Dette skjer nemlig i HTTP-transaksjonen (med GET requests) som foregår inni den krypterte TLS-sesjonen, så det nettleseren ber om er altså er like kryptert som innholdet (artikler, bilder) den får tilbake. Det gjelder også ved bruk av skjemaer (POST requests).

      Relatert:

      stackoverflow.com/questions/499591/are-https-urls-encrypted

      blog.httpwatch.com/2009/02/20/how-secure-are-query-strings-over-https/

    • Ja, det har du jo rett i!

      Jeg var litt kjapp der – overførte tanken direkte fra epost. SMIME kan ikke skjule hvem du brevveksler med, emne-linje og andre headere – bare innholdet. Du kan bruke SSL/TLS til din lokale postformidler, slik at en utenforståene ikke kan avlytte DET hoppet, men når sposten sendes videre ut i verden kan hver eneste posttjener på veien lese samtlige header-felter. For de hopp der ikke SSL/TLS benyttes (det burde ikke skje, men hvem vet…) kan «hvemsomhelst» avlytte samtlige header-felt.

      For HTTPS: Nettstedet, IP-adressen, kan ikke skjules, men hva du ber om å få hentet derfra er kryptert.

      Se forøvrig en kommentar jeg la inn på et annet innlegg høyere oppe, om IPv6 kontra IPv4: Selv om det i prinsipp er fullt mulig å finne ut hvem du er, som henter en eller annen webside fra http://www.barneporno.no, så vil det som regel kreve hjelp fra minst ISP, og iblant også fra flere instanser. Med IPv6 har vi ikke behov for (så derfor kutter vi ut) DHCP, NAT etc. og du blir langt mer direkte identifiserbar.

  11. Sigmund Nylund

    Kjempebra at dere gjør dette, men dette liker vel ikke justisminister Anundsen og statsminister Erna Solberg???
    Svar meg ærlig; hvis disse to får viljen sin vha Dataavlesing, så kan de vel via trojanerinstallasjonen deres allikevel lese alt jeg leser hos nrk.no?
    Hvordan sikrer dere dere at Anundsen ikke får muligheten til å installere trojaner hos dere?

    Svar på denne kommentaren

    • PCer er såpass billige at du kan ha to av dem, den ene av dem overhodet ikke koblet til nett. Selv om noen skulle ha installert en keylogger der, får ikke keyloggeren rapportert sine registreringer.

      Alt av følsom karakter skriver/leser du på offline-PC. Skal noe sendes ut, krypterer du det på offline-PCen og flytter det på en minnepinne over på nett-PCen. Mottar du krypterte filer, flytter du dem over på offline-PCen i kryptert form, på f.eks. en minnepinne, og dekrypterer dem uten nettkontakt.

      Amatør-forbrytere har naturligvis ikke tenkt så langt. Proff-forbrytere har naturligvis tenkt så langt.

  12. Alexander K. Schrøder

    Godt at det er noen som følger med i timen. Dette er hva digi.no sin redaktør hadde å komme med når jeg spurte om hvorfor de ikke brukte kryptering i november i fjor ( digi.no/kommentarer/2015/11/05/kryptering-gir-deg-en-konkurransefordel#comment-2344247309 ):

    For en nettavis uten noen form for innlogging er det ikke mye poeng å ha https. Det som blir trøblete med https på våre sider er at vi inkluderer en del ekstern kode, blant annet for annonser, multimedia, video, grafikk, statistikkløsning osv.. Hvis websiden er kryptert og tredjepartselementer ikke er det, så vil nettleseren spytte ut en kraftig advarsel om at det er noe på siden som ikke er kryptert.

    Jeg ble ærlig talt litt skuffa. Forøvrig, jeg besøkte nettopp yr.no, ble ikke sendt til https der, nei.

    Svar på denne kommentaren

    • Prinsipielt burde all kommunikasjon være ende-til-ende-kryptert. Likevel: En gammel talemåte er å snakke om «å spare på skillingen men la daleren gå». Hvis vi har alt for mye fokus på å gjøre ubetydelige detaljer 110% korrekt, kan vi overse massevis som er langt mer vesentlig.

      Det kan selvsagt konstrueres opp scenarioer der det å hente værprognosene fra yr.no blir «følsomt» – men alt jeg kan komme på i øyeblikket har å gjøre med kriminelle aktiviter. Hvis vi bekymrer oss for yr.no ikke har kryptert tilgang, mens vi stadig sender epost (ende-til-ende-)ukryptert, med sensitive personopplysninger, bedriftsinterne data etc. – da har vi prioritert ressursene våre feil.

      Egentlig burde vi FØRST fått ende-til-ende-kryptert epost på plass, før vi begynte å bekymre oss om https. Grunnen til at vi ikke gjør det, er at S/MIME krever en ørliten innsats fra hver eneste epost-bruker; vi kan ikke bare overlate det til ‘nettstedet’. Men hver eneste epost-bruker BURDE gøre den ørlille innsatsen!

  13. Der var kommentarfeltet.
    Skal vi se. Jo kryptering med tls 1.2 er vel og bra. Noe som er enda bedre er at NRK bruker EV (sertifikat og ikke kun https) Extended validation. Litt dyrere, må oppdateres oftere, krever bedre autentisering og en del andre ulemper. Så var det fordelene da. Med EV er det ikke mulig for noen i midten å snappe opp kommunikasjonen, og rekryptere. Med EV så må NRK autentisere seg mot bruker, og mot sertificatsted. Banker i Norge bruker EV da de har kan være litt mer sensitivd, men det vet en jo ikke. Https er godt nok for selve krypteringen… men vet en hvem en snakker med? Så var det det når date er kommet vel fram, hvor kryptert er det da, og hvem har tilgang. Pr nå har NRK gjort et small step for sikkerhet, et big step for opplysning og fokus. Helst skulle alle nettsteder i erden være kryptert uten unntak, sli at en ikke gjør noen «kriminelt» rart om en benytter kryptering. Om noen vil se innholdet på en side får de oppsøke den… ikke overvåke andre som leser siden, og på den måten bli istand til å lese siden «gratis» uten at noen vet, eller legge litt mer oppi den totale overvåkingspakken. NB Stortinget skal i disse dager se på en ny overvåkingsslov, og selv om noe er instrammet får myndighetene rimelig «frie» tøyler, som ikke er bra under noen omstendighet. Har men 100 linjer med info, da har man det, har man 1 million linjer med info så skulle en tro 1 Mill – 100 linjer er overflødig info… Vel slik virker ikke verden. Om nonen mener noe er overflødig så fjernes knakje 10 000 injer medn 990 000 bholdes… Evt. kanskje… Mao, er noe samlet inn finnes det til evig tid, uansett hvilke lover som gjelder. Det blir bare en en ny skadale om noen år og noen nye som kan si … visste ikke om det. https over alt bør derfor være et minimumskrav. Og så med epost ol. samme fokus der i gården, og med IP2 vell, der er det kun overvåkerne som har kontroll.

    Svar på denne kommentaren

  14. Selvsagt glemte jeg noe, og det var noen skrivefeiler for mye, uten at innholdet ble for mye endret. Ja det var det. En bruker nevnt ghostery, jeg bruker hele spekteret av disse i tilleg til blokkering av script med mer. Jeg tnekt å nevne enda en utvidelse til Firefox og det er lightbeam for Firefox.
    Dette gir deg et grafisk bilde på kommunikasjon. Dersom det kun er intenr kommunikajon så er det greit, men dersom det lenkes til andre sider via f.eks javascript uten å si det til deg så før du mange linjer. Prøv dette på NRK så på vg.no etterpå. Alle besøk en har gjor tidliger vises i lightbeam så bare denne statistikken kan være kompromitterende, men den forblir på egen PC intill en velger å dele den selv.
    Selv bruker jeg lightbeam for å få et inntrykk over hva jeg kan forvente meg på en side, og om lightbem viser uønskede sider så dropper jeg nok besøket. Det er noe jeg har fundert over lenge og det er at de som tar i bruke sikker tknologi mye før alle andre driver med noe som ikke tåler dagens lys. Eks om noe kropterer med DES så er det et passordlagrinsg program en stole på, men om noe bruker AES256 så er det et kryptovirus… Eller når en har WLAN og enten bruker WEP eller ukryptert, så må en selv hae en tunelltjeneste for å sikre seg. Mao, det alle kommer borti er med dårlig teknologi SSL2, SSL3 f.eks i forhold til nå tls. Det finnes et uttal med dårlige løsninger så for hver sm blir bedre blir det lettere å oppdage de som mangler… om en leter da. Bra tiltak NRK, men jeg håprer dere tar steget fullt ut med EV på alle NRK’s sertifikat, og at dere tar datasikring med i alle framtidige bidsjett så spm, om verst tenkelige ting som skjer benyttes i steden for prioriteringer melle ting av ulik kostnad. NRK har jo none sikre tipssider, og det er bra, litt kompleks i bruk for den vanlige bruker, men det er bedre enn åpne kom uansett. Bare sørg for at dere nevner alle fordeler og ulemper på sentrale sider slik at dere bygger opp tillit. Jeg har ikke tillits til Google’s eller FB’s kryptering. Det hindre andre å se hva FB og jeg kommuniserer om, men det hindrer ikke FB å flytte data til andre land der de finnes og der lovene er mindre strenge enn i Norge. Så husk ikke se på https som sikker plass for info, kun som en litt sikrere postmann, med en litt sikrere bil. Info skal framdeles fram til banken (NRK / sluttbruker) så en må stole på denne også.

    Svar på denne kommentaren

  15. Frode Haugsgjerd

    Https er berre sikker om klienten er sikker. Det er fullt mulig å lure brukere til å installere rotsertifikat, og endre proxy instillingen slik at all traffikk blir redirrigert uten at bruker merker noko som helst. Har sett dette på maskiner fleire ganger, men da har hensikten vore å injisere reklame i nettsidene, ikkke obervåking. Det har og vore en del hendelsar hos sertifikattillbyderene, derfor er heile ssl systemet potensielt et skjørt korthus.

    Moralen er Tenk før du klikker!

    Svar på denne kommentaren

  16. Hva med den nye overvåkningsmetoden som skal innføres? Ting blir jo lest før det blir kryptert.. Dere skriver mye pga av Snowden så blir det innført krypteringer som følge av avsløringene.Men holder det å kryptere når tastatur overvåkning kommer på plass?

    Svar på denne kommentaren

Legg igjen en kommentar til Kristoffer Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.