Postnord om manglende HTTPS: »De vitale dele på vores hjemmeside er fuldt krypteret«

Flere har undret sig over, hvorfor Postnord.dk ikke er beskyttet med HTTPS. It-chef i Postnord i Danmark Herman Petersson svarer på kritikken.

Selvom der både skal indtastes betalingsoplysninger og personlige oplysninger på Postnords domæne postnord.dk, så kører domænet ikke med HTTPS.

Version2 har på den baggrund den senere tid modtaget adskillige henvendelser fra læsere, der har påpeget den manglende, synlige kryptering.

På postnord.dk kan der eksempelvis indtastes betalingskortoplysninger i forbindelse med køb af pakkeporto, ligesom der skal indtastes personlige oplysninger som mail, navn, adresse og telefonnummer i forbindelse med tilmelding til 'Nej tak til reklamer'-ordningen.

I begge tilfælde er der ikke synlig kryptering i browserens adressefelt.

I forhold til betaling og pakkeporto, så fremgår det dog af skærmbilledet, at kortoplysningerne faktisk bliver sendt krypteret.

Og det gør de også, forklarer it-chef i Postnord i Danmark Herman Petersson.

»Alle de vitale dele på vores hjemmeside er fuldt krypteret med SSL (HTTPS, red),« siger han.

Det vil blandt andet sige, at formularer, hvor der skal indtastes betalingskortoplysninger, ligger indlejret i en iFrame, hvor oplysningerne bliver sendt krypteret.

»Når man bruger de indlejrede dele, så er det ikke altid direkte synligt, det kører med SSL-kryptering. Der har vi været i gang med at omlægge, så det er synligt, selvom vi bruger iFrames,« siger Herman Petersson og fortsætter:

»Der er jo altid en diskussion i forhold til, om iFrames er ok. Vi får at vide fra vores sikkerhedseksperter, at det er helt ok, at anvende den iFramede teknologi. Men det er jo også mere et design-spørgsmål i forhold til, hvordan man bygger sin hjemmeside op.«

Problematikken omkring man-in-the-middle

En af dem, der ikke synes kryptering udelukkende i iFrames er ok, er Version2-læser og senior backend-udvikler Dan Storm. Han har tidligere tilkendegivet sin holdning til emnet her på sitet.

Det var i forbindelse med en artikel, der handlede om en klage til Datatilsynet over, at der manglede synlig HTTPS på en lægehjemmeside. Tilsynet afviste at gå videre med sagen.

Dan Storms kritik i den forbindelse lød blandt andet, at hvis der ikke er HTTPS på hele sitet, så kan indholdet være ændret af en angriber mellem klient og server.

»Når hængelåsen ikke er der, så har brugeren ikke nogen garanti for, at indholdet ikke er ændret mellem serveren og brugeren, der sidder og kigger på siden. Og det er her, problematikken omkring man-in-the-middle kan opstå,« sagde Dan Storm.

Herman Petersson medgiver, at det kan være fornuftigt nok med HTTPS på hele sitet.

»Jeg ved, at det er der nogen virksomheder, der gør. Og det kan jo være fornuftigt nok i forhold til synliggørelse. Men vi har jo også på vores hjemmeside en stor del statiske sider med information, hvor det ikke er nødvendigt,« siger han med henvisning til, at der er mange sider under postnord.dk-domænet, hvor der ikke er formularer, der bliver sendt oplysninger via.

Flere formularer er stadigvæk ikke krypteret

Når det er sagt, så er der også formularer på postnord.dk-domænet, som bliver brugt til at sende personoplysninger, og som i dag ikke sender krypteret.

»Så har vi et par enkelte områder, hvor der er personlige informationer - men absolut ikke vitale personlige informationer - som ikke er krypterede på nuværende tidspunkt. Det er for eksempel sådan noget som 'nej tak til reklamer,' hvor man taster navn, adresse og mail. Og den kommer vi til at være i gang med at omlægge her indenfor den nærmeste fremtid,« siger Hermann Petersson.

Adresse og telefonnummer, som også skal indtastes i formularen, kan i princippet være oplysninger, som er hemmelige. Og det er en medvirkende faktor til, at Postnord i Danmark arbejder på at kryptere data sendt via formularen, giver Herman Petersson udtryk for.

»Vi ved, der er et antal personer, specielt i forhold til hemmeligt telefonnummer, hvor det kan være et issue.«

Hvorfor har I ikke kryptering på hele postnord.dk-domænet?
»Vi er i gang med at konsolidere vores nordiske sites. Og vi har besluttet at prioritere, at det skal være synligt på de vitale dele først (ePosthuset o.lign., red.). Og der ligger ikke på nuværende tidspunkt en overordnet beslutning om, at hele sitet skal være HTTPS,« siger Herman Petersson.

Datatilsynet stiller i udgangspunktet kun krav om kryptering ved overførsel af følsomme oplysninger via hjemmesider, ved overførsel af personnumre via hjemmesider og i tilfælde, hvor 'behandlingen af personoplysninger i den private sektor sker efter tilladelse med vilkår om konkrete sikkerhedsforanstaltninger ved transmission over internettet.'

Det kan du læse mere om på Datatilsynets hjemmeside her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jeppe Dyrby

Nu kom Dan Storm mig næsten i forkøbet her.
Jeg tænkte faktisk på at skrive til jer (version2) ved samme artikel om den i nævner inspirerede Dan Storm til det.
Jeg havde i december 2015 en chat med en Post medarbejder, som bestemt ikke forstod min kritik af deres problem.
Her er et screenshot af chatten: Chat med postnord

Det endte med at de nu bare pænt skriver at man bare skal se bort fra at siden ikke er krypteret, men at man ikke skal være urolig. Suk.

  • 6
  • 0
Brian Larsen

Så smid dog et certificat på, det koster intet og tager 2 minutter.

Det er rigtig nok i mange tilfælde. Men nogen gange er en løsning udviklet så det ikke er så lige til, der kan f.eks. være hardcoded links med http://. Det lyder jo til at være nemt at løse med en search og replace, men der findes jo et utal af CMS og web platform løsninger og det er nok ikke alle der har adgang til koden eller resourcer til at fikse det.

Det er ikke et forsvar af postnord, selvfølgeligt skal de sikre deres sider, men det er altså ikke altid det bare tager 2 minutter.

  • 7
  • 0
Morten Sabroe Mortensen

Det er meget rimeligt at Datatilsynet mener, at hængelås-indikatoren ikke skal tages for gode vare, selv om den indikeres positiv.

Men der er noget, der hedder "passende sikkerhedsforanstaltninger" og som synes ikke at være adresseret. Senior backend-udvikler Dan Storm har ret i at det går galt på frontend.

"Ikke-vitale, personlige informationer" er vist en ny kategori af almindelige persondata, hvis behandling selvfølgelig også skal være beskyttet, da data identificerer en fysisk person.

Diskussionen hører selvfølgelig ikke til i medierne. Men det sete er næppe et enkeltstående tilfælde.

  • 2
  • 0
Martin Pedersen

Eksempelvis benytter fdm.dk heller ikke https på deres login formular, hvor man får adgang til alle sine personlige oplysninger hos FDM. Jeg har forsøgt at få en forklaring fra dem i flere uger nu, indtil videre uden held.

Jeg fatter ikke at man vil sløse sådan med kundernes sikkerhed.

  • 5
  • 0
Henrik Biering Blogger

... for de sidder jo på Pordnords intranet og taster aldrig selv følsomme oplysninger ind på en hjemmeside uden at have foretaget en omhyggelig gennemgang af koden bag siden.

Men mon ikke Herman Petersson kunne gøre dem opmærksom på at Postnords kunder befinder sig ude på det store usikre internet hvor Postnord ikke uden konsekvent brug af https har nogen sikkerhed for at den side, de afsender til fru Jensen ankommer til fru Jensens browser uden at være modificeret til at lække oplysningerne til tredjemand.

Og hvor de ikke kan regne med at den gennemsnitlige fru Jensen er i stand til at analysere koden bag diverse sider inden hun indtaster sine oplysninger.

  • 5
  • 0
Mark Klitgaard

Det er rigtig nok i mange tilfælde. Men nogen gange er en løsning udviklet så det ikke er så lige til, der kan f.eks. være hardcoded links med http://.

Vi havde samme udfordring da vi besluttede os for at smække HTTPS på vores sider, og for at helgardere os satte vi en simpel redirect regel op så alle requests til http blev til https.

  • 1
  • 0
Bente Hansen

Jeg fatter ikke at man vil sløse sådan med kundernes sikkerhed.


Det hjælper nok, når først siden bliver gul, så rød, og til sidst slet ikke kan vises i browser som Chrome.

Man må give at på nogle områder, har google taget førertrøjen på, med hensyn til at løse sikkerhedsproblemer for os alle sammen. I stedet for bare at gøre det lette. Som man jo kan se i Explorer og Edge.

  • 1
  • 0
Jens Beltofte

For en månedstid siden skulle jeg tilmelde mig bygas efter flytning til Frederiksberg. Dette gøres på frb-forsyning.dk. Så langt så godt. Der var hverken HTTPS på sitet eller på den side deres formular submittede data til. Blandt de oplysninger der skulle udfyldes var forskellige personligeoplysninger inkl. CPR-nummer.

Kontaktede Frederiksberg Forsyningen via Facebook 10. april. Ingen respons. Så fandt kontaktoplysninger på en web-ansvarlig og kontaktede vedkommende på e-mail d. 18. april. Autoreply om ferie. Okay, hvad går man så. Fortalte en kontakt hos Frederiksberg Kommune om bekymringen, og han sendte den videre til rette vedkommende hos Frederiksberg Forsyningen. 19. april fik de HTTPS på hele sitet.

I starten af maj vendte den web-ansvarlige tilbage. Han skrev blandet andet at der nu var HTTPS på sitet. Det nye site var gået live primo april og at der havde været problemer med certifikatet, og derfor var det gået live uden....

Ved godt at de max er 19 dage sitet har været live uden HTTPS, men når man kræver at brugerne udfylder CPR-nummer og andre oplysninger, så burde man intet ikke være gået live uden HTTPS eller have fjernet de formularer hvor sådanne oplysninger skal udfyldes. Længere er den ikke....

  • 4
  • 0
Andreas Krüger

Så smid dog et certificat på, det koster intet og tager 2 minutter.

Det er faktisk ikke helt rigtigt. Nu har jeg overhovedet ingen kendskab til Postnords systemer, hvor meget trafik de har eller hvordan det er sat til at skalere. Det er dog et faktum, at HTTPS performance er væsentlig ringere end HTTP. Jeg tænker deres argument er, at de har noget statisk udstyr som lige nu har en kapacitet. Hvis de skifter til HTTPS så skiftes deres kapacitet og de kan stå overfor et muligt indkøb af mere grej.

At de så selvfølgelig skal og bør køre HTTPS kan vi nok alle være enige om. Jeg finder det dog forkert, at det intet koster. Jeg mener det var LinkedIn der døjede utrolig meget med deres loadbalancere ikke tog højde for shared session persistence ved https, hvorfor hver https request måtte re-negotiate - og det brugte voldsomt med cpu.

  • 1
  • 6
Mikki Sørensen

Jeg har set mindst et andet sted hvor de laver næsten samme nummer, der brugte de javascript til at sende forspøgelser fem og tilbage, til betalings oplysninger, hvor hoved siden der inkluderet det javascript ingen SSL/TLS havde, så det ville en gang MitM være perfekt. Jeg prøvet at forklare dem om, "hvad jeg syntes var et problem", hvor efter de afviste min synsvinkel, men at de da ville gerne invitere mig på kaffe for at høre nemmere, det var dog bare ikke lige noget jeg ville bruge en 3-4 timers tog tur på.

Så hvis der skal ske noget så skal Datatilsynet ændre på reglerne så det også er et krav at sider der inkludere indhold der skal "sende indhold" så som ifreams eller javascript også skal benytte SSL/TLS.

  • 0
  • 0
Henrik Biering Blogger

Men lev du bare videre i din verden, virkeligheden er anderledes.

Her er så et eksempel på virkeligheden:
http://www.httpvshttps.com/

Så der er ingen grund til at generalisere mht hardwareperformance mellem http og https.

Men det er vel i sig selv bemærkelsesværdigt og et vink med en vognstang at ingen af de førende browsere har fundet det relevant at understøtte HTTP/2 uden kryptering (https).

  • 3
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize