Blot fordi, der står HTTPS og/eller er en hængelås i browserens adressefelt, så er det ikke det samme som, at forbindelsen til en server er tilstrækkelig sikker.
Det fremgår af en netop udgivet såkaldt it-sikkerhedstekst fra Datatilsynet med overskriften 'Krypteret dataudveksling via websider – set fra brugerens synsvinkel (PDF)'.
Ifølge Datatilsynets hjemmeside er 'formålet med it-sikkerhedsteksterne er at sætte fokus på udvalgte it-sikkerhedsmæssige problemstillinger, som dataansvarlige, databehandlere, projektansvarlige og andre i praksis skal håndtere i forbindelse med behandling af personoplysninger.'
Men tilbage til teksten om hængelåsen.
»Visning af hængelås eller HTTPS i browserens adressefelt garanterer ikke imod, at uvedkommende kan kikke med eller endda ændre i dataudvekslingen,« står der.
Som eksempel på, hvorfor det til tider kan forholde sig således, skriver Datatilsynet, at når en browser viser hængelås/HTTPS (eller ingen hængelås/HTTP), kan denne oplysning gælde hele den viste webside eller kun dele af websiden. Dermed vil der altså kunne være indhold på siden, som ikke er krypteret, til trods for hængelåsen.
Og som - antageligt - ganske mange Version2-læsere vil være klarover, så har forskellige browsere forskellige måder at kommunikere til brugeren på, hvordan det står til med den sikre - eller usikre - kommunikation til en hjemmeside.
Derudover kan det certifikat, der bliver anvendt til skabe den sikre forbindelse også have som formål at identificere, hvorvidt 'modparten i dataudvekslingen er den, man forventer,' som Datatilsynet formulerer det.
»Som tidligere nævnt kan certifikater benyttes til andet end kryptering af dataudvekslingen. Derfor er informationen i browserens adressefelt og de tekstuelle advarsler ikke nødvendigvis tegn på manglende eller utilstrækkelig kryptering. Som bruger er man henvist til at sætte sig ind i advarslernes betydning, og foretage sin egen vurdering af, hvordan man bør reagere,« skriver Datatilsynet i teksten.
Utilstrækkelige krypteringsmetoder
Tilsynet bemærker desuden, at en hængelås eller HTTPS i browserens adressefelt indikerer, at »der er anvendt kryptering, men ikke hvilken slags, eller i hvilken grad krypteringen beskytter imod, at uvedkommende omdanner de kryptere data til læsbart format.«
Og i den forbindelse skriver Datatilsynet, at en flere »krypteringsmetoder, som været anvendt i browsere i mange år, i dag for at være utilstrækkelige.«
Datatilsynet kommer i det 10 sider lange skriv blandt andet også ind på, hvordan man-in-the-middle-angreb kan betyde, at den øjensynligt krypterede forbindelse ikke er ensbetydende med, at kommunikationen til en webserver faktisk er sikker.
It-sikkerhedsteksten indeholder også en række tips til, hvad en bruger kan gøre for at undersøge og til dels styre en krypteret dataudveksling.
Udover 'Krypteret dataudveksling via websider – set fra brugerens synsvinkel' har Datatilsynet også netop udgivet it-sikkerhedsteksten 'Krypteret dataudveksling via websider – set fra den dataansvarliges synsvinkel' (PDF)
Denne tekst er med sine fire sider noget kortere end den brugervendte tekst. Teksten til den dataansvarlige indeholder flere eksempler på, hvordan datakommunikationen kan sikres.
Her lyder et af eksemplerne, at 'webserveren til kun at etablere krypterede forbindelser ved anvendelse af krypteringsmetoder, der pt. anses for tilstrækkeligt sikre. Det kan indebære, at brugere med forældede browsere skal afvises (forhindres i at udveksle data med webserveren).'