Datatilsynet advarer mod at stole på hængelåsen i browseren

Jeg går ud fra at det er Microsoft, Google, Apple og Mozilla du mener ?

Din pointe er velsagtens, at man ikke være 100% sikker på, at de nævnte firmaer ikke fifler med HTTPS-verifikationen, evt. under ordre fra en efterretningstjeneste eller lign.? Det er korrekt, hvilket jeg også skriver. Hvis Google er ude på at tage røven på en Chrome-bruger, kan de gøre det på mange andre måder end via falske certifikater.

Er jeg bekymret for, at Google misbruger min tillid til at aflure min netbankkode eller mine lumre beskeder til min elskerinde? Nej. Men hvis jeg var eftersøgt for terrorisme, ville jeg da sikkert se anderledes på sagen. I den situation bliver man nok nødt til helt at undlade at bruge browsere og computere i det hele taget uanset leverandør.

Hvis en ondsindet trejdepart har været i stand til at installere certifikater [...]

Jeg går ud fra at det er Microsoft, Google, Apple og Mozilla du mener ?

Debatten ville blive ganske kedelig - og meget lidt givende - hvis det er forbudt at indrømme at man har problemer med at forstå et givet argument.

Det kan køre på samme maskine som brugerens/ofrets browser, f.eks. kunne man lokke brugeren til at installere det her coole sikkerhedssoftware som gør at alle sider kører https ;-)

Hvis du befinder dig i en sådan uheldig situation, er et tvivlsomt hotel-WiFi (som omtalt i Datatilsynets vejledning) næppe din største bekymring.

Lad os nu ikke gøre HTTPS værre, end det er. Selvom det tillidsbaserede system er flosset i kanten, er det (mig bekendt) i praksis ikke muligt at købe falske certifikater på gadehjørnerne (medmindre man er en efterretningstjeneste eller har meget dybe lommer). Er du privat bruger med kontrol over egen maskine, vil jeg mene, at hængelås-ikonet er en rimelig god indikator for, at du har fat i den server, der står i adressefeltet, og at forbindelsen er krypteret. Men det er selvfølgelig ingen 100% garanti. En sådan garanti kan ikke gives.

Kan du uddybe det? Jeg har aldrig set det på en privat computer. Din browser vil jo netop brokke sig hvis firewallen laver MITM. Men måske du snakker om enterprise computere?

Må jeg i denne forbindelse slå et slag for Subresource Integrity, forkortet SRI, som er en blændende metode til stadig at sikre levere data, hvis man ikke stoler 100% på den grønne hængelås. Ved at hashe en fil og lade browseren sammenligne hashværdien, så sikrer man at filen rent faktisk er den fil man søger, og ikke en kompromiteret fil som en hacker har pillet ved.

Vi bruger det på en privat CDN, der leverer alt fra CSS frameworks og web-skrifttyper, til JS-libraries og banale ting som f.eks. jQuery. På denne måde sikrer vi os, at selvom vores SSL forbindelse er sikker, så kan en hacker sagtens have været inde forbi og pille ved f.eks. Bootstrap, så vi henter malware ned i stedet. Men med SRI, så rejecter browseren simpelthen filen, hvis hash'en ikke passer, og der er ingen skade sket.

Det er heldigvis ikke sket endnu, men det skader ikke at være et skridt mere sikker.

PS: Det er selvfølgelig ikke supporteret i IE

Kan ikke nære mig...</p>
<p>...for at gøre opmærksom på, at også i udlandet undrer man sig over den omsiggribende brug af overvågningskameraer i Danmark:</p>
<p><a href="https://www.reddit.com/r/Denmark/comments/40untv/wtf_is_up_with_your_ni…;
<p>

Hvad er det her, du ikke fatter, Nicolai (og som flere andre så ud til at fatte dengang) ? Er det ikke ret indlysende, at det er en joke - endda en fantastisk god joke? Men du har ret - af hensyn til dig burde jeg have inkluderet smileyen, så du også kan grine med :-) Det glemmer jeg ikke næste gang.

Jeg arbejder ikke i det felt du beskriver

Siden du nu har så afslappet et forhold til persondata, inkl. vores andres, kunne du så ikke oplyse, hvad du så faktisk laver? Eller er det for privat?

Men der er mange gode debatter du har decideret ødelagt med din evindelige politiske jagt efter skyts mod alt hvad det offentlige gør.

Men hvordan kan du vide, at der er en del borgerne ikke får at vide?

Humlen er nok, at jeg er meget kritisk overfor den udvikling, som samfundet er på vej ind i i øjeblikket - og det provokerer dig åbenbart, fordi du går ind for den udvikling. Du kritiserer mig for, at mine holdninger er velkendte, og derfor bør jeg klappe i - mener du ikke, at dine holdninger er enddog særdeles velkendte?

Hvor meget krudt har du ikke brugt på mig i denne tråd? Er det relevant i forhold til artiklens emne? Nej vel? Men den har du måske ikke noget at bidrage med i forhold til?

Så hvis det skal have en opdragende effekt, så må det uddybes med lidt forklaring . Fint nok, at du så giver et bud her - jeg tager det med i mine overvejelser frem over.

Men alligevel anbefaler du mig at springe dine indlæg over? Modsiger du så ikke dig selv nu?

Jeg kan så se, at jeg har gjort dig lidt uret. Jeg troede faktisk, at du stod bag den ene konsekvente thumbs Down, jeg plejer at få - men det er så ikke tilfældet?

Nej, som regel springer jeg dine indlæg over, for de er alt andet end relevante. Og jeg kan altså heller ikke trykke på "thumbs down" 8 gange, så måske du skulle kigge lidt indad? Jeg tænker også, at jeg heller ikke er den eneste der for det meste bare ignorerer dine indlæg, så at du ikke får flere thumbs down behøver ikke at betyde at du har ret. Man ved jo også, at når man modsiger en sølvpapirhat, at så får man "thumbs down" fra alle de andre hatte, så ofte gider man ikke. Det er heller ikke uden grund, at Version2 også går under navnet "Versionen".

Men der er mange gode debatter du har decideret ødelagt med din evindelige politiske jagt efter skyts mod alt hvad det offentlige gør.

selv om jeg oftere bliver skuffet eller bekræftet i fornemmelsen af, at der er en del vi borgere ikke får at vide.

Du ved godt at vores samfund er et tillidsbaseret samfund? Det er nu en gang den måde vi har valgt at bygge det op på. Ikke dermed sagt at man skal være ukritisk.

Men hvordan kan du vide, at der er en del borgerne ikke får at vide? Hvis de ikke har fået det at vide, hvordan kan du så vide det? Er det fordi at nogle får det at vide, bare ikke alle? Er det fordi du bare ikke selv opsøger det der er at vide? Eller måske forstår du det ikke? Det er jo ret naturligt, at man ikke bombarderer folk med informationer de ikke forstår alligevel. Der er vi jo så heldige, at vi har et af verdens mest åbne systemer, så hvis du vil vide, kan du få at vide. Så ingen grund til at du igen drejer det over på konspirationsteorier om at borgerne bliver holdt i uvidenhed.

Ej altså, Nicolai - er du sød lige at finde linket til dette - så kan folk selv vurdere, hvem det var, der ikke fattede joken der - dig eller mig :-)

Haha. Der var intet i dit indlæg der indikerede en "joke", det plejer man at gøre, som jeg kan se du godt kan finde ud af, med en smiley eller bemærkning om ironi. Det var først efter det gik op for dig, hvad det reelt gik ud på, at du brugte den velkendte taktik med at kalde din fejlagtige udtalelse for en joke, og du fulgte da op med at påstå jeg ikke havde forstået joken, selvom jeg kommenterede du ikke havde forstået den. Det forsvar virker altid, i stil med konspirations-teorier, fordi man bringer tvivlen ind. Men som nævnt, jokes er enten tydelige eller påført en smiley. Som du kan se, er dit indlæg ikke i den kategori:

Kan ikke nære mig...

...for at gøre opmærksom på, at også i udlandet undrer man sig over den omsiggribende brug af overvågningskameraer i Danmark:

https://www.reddit.com/r/Denmark/comments/40untv/wtf_is_up_with_your_nig...

Generelt er der flere forkerte end rigtige i dit indlæg. Jeg arbejder ikke i det felt du beskriver, og jeg følger sjældent dine indlæg - men jeg synes det er ærgerligt at du benytter enhver mulig lejlighed herinde, til at fordreje mod din politiske agenda. Selv når det ikke har noget med myndighederne at gøre, stiller du stadig spørgsmålet "har myndighederne svigtet?" i håbet om at du kan samle mere til bitterheden.

Ja, der har du nok ret - som sagt har jeg efterhånden oparbejdet skarpe meninger på det punkt - belært af diverse sager. Det kan sikkert irritere nogen. Jeg har dog indtryk af, at jeg på det punkt har mange meningsfæller herinde.

"Skarp" bliver det først når man ved hvad man snakker om. At du har mange meningsfæller herinde, når du snakker imod systemet, er slet ikke mærkeligt. Der er ret mange sølvpapirhatte herinde, ligeså vel som du finder hash-tilhængere på Christiania. Men er du så usikker, at du er nødt til at drage andre ind for at støtte din politiske agenda?

Men spring dog mine indlæg over, Nicolai - det er ganske enkelt at gøre.

Jeg må foreslå dig at følge hvad du prædiker, fremfor at gøre dig til dommer over hvad andre skal.

Myndighederne har som sådan slet ikke noget at gøre med det...

Nogen anbefalinger af værktøjer til intelligent oprydning i certifikatjunglen i firefox/chrome/... ?

Manuel gennemgang virker lidt som en march på stedet, ikke mindst pga de mange indbyggede der ikke kan slettes...

Fx noget der udfra region/brugerprofil/... laver en white/grey/blacklist

Jeg tror du har misforstået de "thumbs down", selvfølgelig må man spørge for at blive klogere - men når man inddrager sin personlige irrelevante agenda, så må man forvente at folk bliver trætte af det. Uanset hvad mener jeg at det er under al kritik at de er anonyme. Det kan ikke passe, at man ikke skal stå ved sin kritik. :)

Jeg kan så se, at jeg har gjort dig lidt uret. Jeg troede faktisk, at du stod bag den ene konsekvente thumbs Down, jeg plejer at få - men det er så ikke tilfældet?

Mht. kritik af myndighederne: Forummet her er en kærkommen mulighed for mig for at få et andet syn på det "spin", som tit kommer ud fra officielt hold vedr. diverse forhold, inkl. IT-udvikling, for herinde er der jo faktisk fagkundskab, som har insiderviden om mange af disse emner. Og det hænder faktisk, at jeg bliver beroliget mht. myndighedernes indsats - selv om jeg oftere bliver skuffet eller bekræftet i fornemmelsen af, at der er en del vi borgere ikke får at vide.

Det er jeg som sådan helt enig i.... men det er ikke "OS" teknonørder der kører showet den vej, vi kan ikke sælge varen fordi den ikke er letfordøjelig og det kræver en hel del viden (eller interesse) for at forstå det.

Tilsvarende troede hun at den danske overvågning var total, da hun opdagede DR Ultras pauseunderholdning, som består af webkameraer fra DR's kælder. Et indlæg hun havde snuset op på Reddit, uden at nærlæse tråden.

Uanset hvad jeg skriver, så giver du mig - så vidt har jeg da luret dig - thumbs down - simpelthen fordi du er uenig i mine holdninger til privacy og persondata. Når du ser mit navn, ser du rødt, fordi du selv arbejder med forskning i persondata, og derfor føler dig truet. Helt i orden, det har jeg vænnet mig til, og det ville være mærkeligt, hvis der ikke var nogen, der reagerede negativt på mine ret skarpe holdninger til det emne.

Mht. at blive klogere på det tekniske, så er jeg bestemt blevet meget klogere undervejs - men jeg må også tit give op, og erkende, at dette ikke er mit område, ud over at IT i et eller andet omfang efterhånden bør være alles område, fordi det i så høj grad er blevet styrende for samfundsudviklingen.

Den meget ensidige fokusering på myndighedernes fejl, bliver trættende i længden. Måske er det derfor? :)

Men spring dog mine indlæg over, Nicolai - det er ganske enkelt at gøre.

Udviklingen indenfor IT er efterhånden lig med selve samfundsudviklingen. At mene, at indsigt i denne udvikling skal være forbeholdt dem, der har forstand på det, er en form for elitestyre, som meget hurtigt vil underminere demokratiet.

Når man som myndighed tvangsdigitaliserer en hel befolkning inkl. dem, som ellers skal have deres børnebørn til at programmere fjernbetjeningen, så har man også et stort ansvar for, at det sker på sikker vis.

Det er heller ikke nødvendigt, hvis du primært besøger de offentlige sider. Så er det i hvert fald ikke der faren er.

Som du kan se så er der ingen steder nogen myndigheder involveret...

Når man som myndighed tvangsdigitaliserer en hel befolkning inkl. dem, som ellers skal have deres børnebørn til at programmere fjernbetjeningen, så har man også et stort ansvar for, at det sker på sikker vis. Og så hjælper det ikke noget, hvis man vælger løsninger, som kræver det udvidede maskinmester certifikat for ikke at tage en finger i ny og næ.

Hvis det havde været tale om et tilbud, så vil det være rimeligt at forvente at folk selv siger fra, hvis evnerne ikke rækker eller hvis de var utrygge, men der er desværre i praksis ofte tale om et påbud.

De mange thumbs down til Anne-Marie får det til at se ud, som om "almindelige" mennesker uden en højere akademisk teknisk uddannelse, ikke kan komme med spørgsmål på dette forum.

Nej, det er nok mere et udtryk for at hun som vanligt forsøger at finde "skyts" til hendes egen agenda - "enhver mulighed for at kritisere myndighederne", og dermed fordrejer debatten. Som det også fremgår fra hendes indlæg:

så svigter vore myndigheder åbenbart endnu engang de almindelige borgere

Og

Er det mon endnu engang, fordi man tilgodeser erhvervslivets interesser i stedet for den almindelige borgers?

Samt

at myndigheder har sovet i timen og ikke udvist rettighed omhu?

.

Det er endnu en lejlighed til at overveje om ikke dette anonyme thumbs up/down system burde erstattes med noget lidt mere tidsvarende.

Jeg tror du har misforstået de "thumbs down", selvfølgelig må man spørge for at blive klogere - men når man inddrager sin personlige irrelevante agenda, så må man forvente at folk bliver trætte af det. Uanset hvad mener jeg at det er under al kritik at de er anonyme. Det kan ikke passe, at man ikke skal stå ved sin kritik. :)

Alt respekt til dig for at forsøge at blive klogere - og jeg kunne også godt tænke mig at vide hvorfor dine indlæg får thumbs down.

Hendes primære fokus er ikke at blive teknisk klogere på emnet, men at finde ud af om myndighederne har svigtet, hvilket også fremgår af hendes indlæg, citeret herunder. Havde det bare været for at blive klogere, men hendes holdninger er kendte.

så svigter vore myndigheder åbenbart endnu engang de almindelige borgere

Tilsvarende troede hun at den danske overvågning var total, da hun opdagede DR Ultras pauseunderholdning, som består af webkameraer fra DR's kælder. Et indlæg hun havde snuset op på Reddit, uden at nærlæse tråden.

AMK giver ofte udtryk for, at myndighederne skal holde sig langt fra privates data, og hvis myndighederne ønsker metoder for at gøre det bedre, er det en glidebane. Samtidig mener hun så også, at det er myndighedernes skyld hvis borgerne kommer i klemme. Så uanset hvad, kan myndighederne ikke gøre noget rigtigt.

Den meget ensidige fokusering på myndighedernes fejl, bliver trættende i længden. Måske er det derfor? :) Det er bare et gæt.

Skyldes de problemer, som opridses i artiklen, at myndigheder har sovet i timen og ikke udvist rettighed omhu? Eller har vore myndigheder været på en fra starten helt umulig opgave i forhold til at sikre, at borgerne kan færdes nogenlunde sikkert i netbutikker, uden at skulle være IT-specialister?

Som du kan se så er der ingen steder nogen myndigheder involveret...

Hvis jeg så som systemadministrator vil sætte min proxy eller firewall til at checke https trafik (terminere SSL) så behøver jeg bare at få de Windows maskiner der er i huset til at stole på firewallens certifikat (det kan man nemt i Active Directory og det kan man for så vidt også lure brugerne til at gøre hvis det ikke er et AD) så ser brugerne en grøn hængelås og min firewall kan checke at der ikke kan sendes grimme ting gennem https.

Anne-Marie har skrevet flere end 2.000 indlæg i de cirka 500 dage, hun har været medlem herinde og kan vel ikke forvente at få thumbs op for dem alle

Såeh du mener at der findes en "gylden thumbs up/down ratio", som man skal forvente at blive jantet hen imod ??

Debatten ville blive ganske kedelig - og meget lidt givende - hvis det er forbudt at indrømme at man har problemer med at forstå et givet argument.

Personer som er ude af stand til at sige "det forstår jeg ikke" har vi i forvejen rigeligt af...

• Og jeg ved ikke hvorfor tallet 179 lige nu står malet med grafitti på endevæggen af min frontallap..

K

Anne-Marie har skrevet flere end 2.000 indlæg i de cirka 500 dage, hun har været medlem herinde og kan vel ikke forvente at få thumbs op for dem alle

Udviklingen indenfor IT er efterhånden lig med selve samfundsudviklingen. At mene, at indsigt i denne udvikling skal være forbeholdt dem, der har forstand på det, er en form for elitestyre, som meget hurtigt vil underminere demokratiet. Der har på det seneste været stemmer, der begynder at argumentere i den retning, bl.a. i Politiken http://politiken.dk/debat/premium/premium/ECE3447840/uoplyste-borgere-boer-ikke-have-stemmeret/

For mig at se en uhyggelig udvikling, som jeg agter at modarbejde. Jeg vil derfor omformulere mit spørgsmål: Skyldes de problemer, som opridses i artiklen, at myndigheder har sovet i timen og ikke udvist rettighed omhu? Eller har vore myndigheder været på en fra starten helt umulig opgave i forhold til at sikre, at borgerne kan færdes nogenlunde sikkert i netbutikker, uden at skulle være IT-specialister?

Som en virksomhed der leverer løsning til beskyttelse af browsers og trafik er jeg ofte blevet overrasket over hvor mange der blindt stoler på "hængelåsen" og hvad den står for.

Iflg statistik så sker ca 10% af alle cyber angreb i brugerens browser og de fleste af disse efter at SSL/TLS er blevet dekrypteret. SSL giver beskyttelse for angreb i sessionen, et område der trods at det er brudt kun betyder få angreb, men de fleste angreb vil ske efter at SSL er dekrypteret, dvs. i selve browseren.

Jeg mener stadig ikke at der er grund til panik og skræk kampagner, specielt ikke i Danmark, men vi skal dog være opmærksomme da det er et voksende marked for angreb og ofte ses som det svageste led i en sikkerhedsløsning.

Tiden hvor vi kunne få brugere til at installere løsninger er historie og vi må som virksomheder derfor gøre hvad vi kan for at beskytte vore kunder

Alt respekt til dig for at forsøge at blive klogere - og jeg kunne også godt tænke mig at vide hvorfor dine indlæg får thumbs down.

Alt respekt til dig for at forsøge at blive klogere - og jeg kunne også godt tænke mig at vide hvorfor dine indlæg får thumbs down.

Dvs. at man ikke går ind på en phishing udgave af Nordea/danske bank, men det korrekte domæne. Og så derefter er krypteringen vigtig.

Hr. og fru Jensen har generelt ikke en kinamands chance for at vurdere om de er gået ind på et domæne, der ejes af en given virksomhed. Den eneste mulighed for at opnå dette uden at forlade sig på diverse utroværdige CA'er som mellemmænd er at skabe en direkte association mellem virksomhed og domæne, som bl.a. indikeret i denne tråd. Det er der indtil videre teknisk belæg for at starte i Danmark, Norge, Finland og New Zealand, så det egentlig blot med at komme i gang.

"»Som tidligere nævnt kan certifikater benyttes til andet end kryptering af dataudvekslingen. Derfor er informationen i browserens adressefelt og de tekstuelle advarsler ikke nødvendigvis tegn på manglende eller utilstrækkelig kryptering. Som bruger er man henvist til at sætte sig ind i advarslernes betydning, og foretage sin egen vurdering af, hvordan man bør reagere,« skriver Datatilsynet i teksten."

Jeg forstår ikke engang, hvad der står her, så gad vide, hvor mange der overhovedet nogensinde ville få købt noget, hvis de skal følge det råd - jeg ville i hvert fald ikke. De fleste, der ikke har teknisk indsigt, er nødsaget til at henholde sig til ret overfladiske vurderinger af, om det ser nogenlunde fornuftigt ud, og så håbe på det bedste.

Jeg er ikke fortaler for, at man slet ikke behøver at bruge hjernen som forbruger - man kan f.eks. undgå sider, der tydeligvis er oversat med Google. Men som kommentarerne her viser, så er det selv for fagfolk ikke let gennemskueligt, hvad der kan gemme sig bag hængelåse, certifikater eller mangel på samme (sådan forstår jeg i hvert fald kommentarerne). Og de fleste forbrugere har altså brugt sådanne som pejlemærker, når man tager stilling til, om en side er tilforladelig, for det er et råd, vi har fået fra diverse myndigheder. Men måske et dårligt råd?

En ting er hængelåsen, hvad den rent faktisk betyder, noget andet er fejlbeskeder, hvis de endda kommer.

Der er faktisk løsninger derude, som kan hjælpe webserver/admin/arkitekt/hvemsomhelst med at få styr på SSL og certifikaterne. Se eks. her:

https://www.trustskills.com/

Som bruger er man henvist til at sætte sig ind i advarslernes betydning, og foretage sin egen vurdering af, hvordan man bør reagere,« skriver Datatilsynet i teksten.

De mange thumbs down til Anne-Marie får det til at se ud, som om "almindelige" mennesker uden en højere akademisk teknisk uddannelse, ikke kan komme med spørgsmål på dette forum. Det er endnu en lejlighed til at overveje om ikke dette anonyme thumbs up/down system burde erstattes med noget lidt mere tidsvarende.

Mange tak for de mange Thumbs Down - en god anledning for mig til at blive klogere: Er I uenige i, at "nogen" undervejs har svigtet forbrugerne mht. råd vedr. hængelåsen?

Hvem er det, der indtil nu har ført os almindelige forbrugere (der ikke forstår en dyt af de fleste kommentarer her, og derfor heller ikke kan vurdere dem) bag lyset ved at bilde os ind, at vi bare skal kigge efter hængelås (og når det går rigtigt fint til - certificater), så kan vi føle os rimeligt trygge?

Hvis det ikke er Datatilsynet, der har stået bag denne vejledende regel - hvor kommer den så fra?

Hvis det står så sløjt til med pålideligheden af den tommelfingerregel, som jeg lige nu får indtryk af, så svigter vore myndigheder åbenbart endnu engang de almindelige borgere - for vi har ikke en chance for på egen hånd at forholde os kritisk til, hvornår denne regel kan bruges eller ikke bruges. Er det mon endnu engang, fordi man tilgodeser erhvervslivets interesser i stedet for den almindelige borgers?

Spørgsmålet er ikke retorisk ment - jeg forstår simpelthen ikke, hvordan vi er havnet i denne sump.

Det eneste hængelåsen viser, er at nogen har betalt (beskyttelses-)penge til en CA.

Godt klar over, hvad der menes. Men der er flere former for sikkerhed, og aldrig nogen vel, som har påstået andet end at HTPS betyder krypteret kommunikation, og ikke siger noget om troværdigheden af selve indholdet af siden.

Derfor kan et malware site også få sådan en hængelås, S VJV ja. Men det er jo det, at man går ud fra som udgangspunkt, at man allerede har valgt det korrekte domæne, og først derefter er HTPPS en egentlig sikkerhed.

Dvs. at man ikke går ind på en phishing udgave af Nordea/danske bank, men det korrekte domæne. Og så derefter er krypteringen vigtig.

Det er da også en "usikkerhed", at en HTTP proxy uden videre kan afslutte SSL/TLS sessionen og lade det sidste led foregå ukrypteret uden brugerens kendskab (f.eks. tilbyder den gratis tjeneste cloudflare dette - bevares: Det er muligt at hele vejen er krypteret, men det kan også vælges fra som standard)

Eller at TDC uden problemer med det samme ville kunne udstede et certifikat til en site der lager "google.dk" hvis PET eller FE har brug for det ?

Hvilken trusted authority i alm. browsere kan TDC udstede certifikater på vegne af (spørger jeg i tilsyneladende mangel på tilstrækkelig forståelse af hvordan tingene virker)?

Eller at TDC uden problemer med det samme ville kunne udstede et certifikat til en site der lager "google.dk" hvis PET eller FE har brug for det ?

Et forsøg på at løse problemet er DANE, men det har indtil videre ikke vundet større indpas.

Firewalls som checker https trafik laver i princippet et MITM angreb netop på https trafik, hvor det certifikat brugeren ser er firewallens certifikat og ikke serverens - men hey, brugeren er glad, han har jo en grøn hængelås.

Det eneste man ved er at kommunikationen mellem browseren og serveren er krypteret og at certifikatet er udstedt til sitet.

...af en af flere hundrede selvbestaltede "Certificate Authorities" som Microsoft, Apple, Google eller Mozilla har bestemt vi skal stole på, til trods for at de færreste danskere ville turde købe 500 ark hvidt A4 papir med deres kreditkort.

Hvor mange danskere er klar over at deres browser fuldautomatisk og uden at fortælle dem det, stoler 100% på "TÜRKTRUST Bilgi Iletişim ve Bilişim Güvenligi Hizmetleri A.Ş." som kan tænde hængelåsen for en site der påstår at være https://grundloven.dk ?

Eller at TDC uden problemer med det samme ville kunne udstede et certifikat til en site der lager "google.dk" hvis PET eller FE har brug for det ?

Det eneste hængelåsen viser, er at nogen har betalt (beskyttelses-)penge til en CA.

...det er ingen kunst at lave et MITM angreb mod et https sikret site, bare fordi der er en hængelås betyder IKKE at sitet er sikret for det siger intet om ejeren af certifikatet eller for den sags skyld udstederen af certifikatet. Det eneste man ved er at kommunikationen mellem browseren og serveren er krypteret og at certifikatet er udstedt til sitet.

Firewalls som checker https trafik laver i princippet et MITM angreb netop på https trafik, hvor det certifikat brugeren ser er firewallens certifikat og ikke serverens - men hey, brugeren er glad, han har jo en grøn hængelås.

Hvad skal jeg gøre for at det lykkes ? jeg skal "bare" installere et certifikat på ofrets Windows og så er jeg kørende... nu kan jeg få enhver side til at vise en grøn hængelås... oh, wait... var det ikke det Lenovo gjorde for 1½ års tid siden?

Iøvrigt... Man bør altid køre sikkerhedskritiske sessions i en privat browservindue. Fordi, så bliver extentions også lukket af. Det er også nemt at lære folk. Det forstår de.

Men der må simpelthen ikke være nogetsomhelst de skal gøre, som involverer noget direkte teknisk.

Dette gælder desværre også whitelists. Folk forstår det ikke, det er alt for teknisk.

Jeg har sagt til alle og enhver, de skal bare kigge efter hængelåsen.

Helt ærligt... Du får ikke noget normalt menneske med gennemsnitsligt kendskab til computere til at sætte sig ind i certifikater og styrken af kryptering.

No way.

Problemet er, at hængelåsen og det lille HTTPS: er en brugervenlig metode til at vise sikkerhed, og det er noget folk umiddelbart forstår.

Det er derfor også aldeles brugeruvenligt at kræve at folk yderligere skal vide noget om certifikater og kryptering. Det kommer aldrig til at virke. Det mudrer i dén grad folks opfattelse af sikkerhed.

Hvis certifikater er et problem, så må det løses af browserfabrikanterne. Det er vel dem, som installerer dem?

Og det samme med styrken af krypteringen.

Og så må webmasterne til at benytte bedre security policy. Man kan komme langt her, f.eks. blocke externt 3. parts javascript samt inline javascript, så kun hvad der absolut er lavet til den side kan udføres.

Jeg synes, der er nogle håbløse råd og løsningsforslag i ST12, som skaber mere forvirring og angst end nødvendigt, og som ikke løser de nævnte problemer ved roden.

Det er selvfølgelig en generel præmis, at dataoverførsler er i fare for at blive aflyttet, uanset hvor mange forholdsregler man har taget (pga. 0-day exploits, fejl hos CA'er, osv.). Det er relevant at gøre opmærksom på, men det er ikke hensigtsmæssigt at sætte spørgsmålstegn ved de sikkerhedsmekanismer, som rent faktisk fungerer efter hensigten (forudsat at de er anvendt korrekt).

Der diskuteres farer ved delvis kryptering. Det findes i mange varianter, der er mere eller mindre problematiske. Det bedste råd, man kan give brugerne, er at stole på browseren og lære at forstå de forskellige slags hængelås-ikoner.

Der diskuteres farer ved forældede krypteringsalgoritmer. Jeg vil mene, at hvis blot man sørger for at holde sin software opdateret (OS, browser mv.), så har man ikke noget at frygte i den henseende. Det fører ikke til noget at få almindelige brugere til at ikke bekymre sig om krypteringsalgoritmer.

Der diskuteres afbrudt kryptering (interception proxies). Jeg går ud fra, at der tænkes på PAC og WPAD. Hvis man har en af disse slået til (det har vel de færreste), bør man hurtigst muligt slå det fra. Har man gjort det, og man i øvrigt husker at tjekke hængelås og hostnavn i adressefeltet, så kan hoteller og andre ikke kunne intercepte din HTTPS-trafik. At forklare almindelige brugere om interception proxies fører vist ikke til noget fornuftigt.