Jump to content
Just nu i M3-nätverket

Enkelt att hitta en säker server (?)


e-snobben

Recommended Posts

Lite av en slump verkar jag ha hittat ett bra sätt att upptäcka säkra servrar. Om det nu är så enkelt? Men jag antar det. Vissa sidor man kommer till, t ex Bredbandsbolaget och Telia, är inte säkra "från början" så att säga. Dvs man måste logga in för att hänglåset ska dyka upp. Men i vissa fall vill jag att den sidan där jag skriver in mina inloggningsuppgifter ska vara säker. Provade därför att skriva in ett s bakom http och det funkade. Jag omdirigerades till exakt samma sida med hänglås. För att vara säker på att det inte blir så överallt provade jag att gå till andra sidor, typ tidningar eller detta forum. Där står sidladdningen bara och tuggar. Den hittar alltså ingen säker sida. Nån expert som kan bekräfta eller dementera att min metod att hitta säkra sidor är säker?

 

Dessutom, om det nu är så enkelt, varför dirigeras man inte direkt till denna sida? Tycker det är en självklarhet som alla seriösa företag borde anamma.

Link to comment
Share on other sites

Men vad menar du med säker ? Säker mot vad ?

 

Https-protokollet körs krypterat till skillnad mot "vanlig" http. Det gör att förbindelsen mellan dig och webbservern blir ganska svårläst för någon som vill spionera. Kryptot utfärdas med certifikat, som du kan granska och alltså få en chans att bedöma vem som handhar verksamheten du ansluter mot.

 

Däremot tror jag inte att E-snobbens "upptäckt" har någon praktisk nytta. Den krypterade anslutningen s uppgift är att göra uppgifter som skickas över nätet oläsliga. Det innebär att om du ansluter till banken, så kan ingen se vad banken säger om ditt kontobesked eller hur mycket du sätter in. Däremot kan ju trafiken läsas i sig, men inte tolkas eftersom den är krypterad

Själva inloggningen från en osäker sida är ju säkrad på andra vis, ofta via annan kryptering och session cookies och blir inte säkrare för att den krypteras via https.

Link to comment
Share on other sites

Https-protokollet körs krypterat till skillnad mot "vanlig" http. Det gör att förbindelsen mellan dig och webbservern blir ganska svårläst för någon som vill spionera. Kryptot utfärdas med certifikat, som du kan granska och alltså få en chans att bedöma vem som handhar verksamheten du ansluter mot.

 

Däremot tror jag inte att E-snobbens "upptäckt" har någon praktisk nytta. Den krypterade anslutningen s uppgift är att göra uppgifter som skickas över nätet oläsliga. Det innebär att om du ansluter till banken, så kan ingen se vad banken säger om ditt kontobesked eller hur mycket du sätter in. Däremot kan ju trafiken läsas i sig, men inte tolkas eftersom den är krypterad

Själva inloggningen från en osäker sida är ju säkrad på andra vis, ofta via annan kryptering och session cookies och blir inte säkrare för att den krypteras via https.

 

Av den beskrivningen får jag skillnaderna mellan "http" och "https" till att vara:

 

Https = garanterad kryptering, garanterad site-adm.

 

Http = möjlig kryptering men okänt om den används, ej garanterad site-adm.

 

Det är väl väsentliga skillnader?

Link to comment
Share on other sites

Av den beskrivningen får jag skillnaderna mellan "http" och "https" till att vara:

 

Https = garanterad kryptering, garanterad site-adm.

 

Http = möjlig kryptering men okänt om den används, ej garanterad site-adm.

 

Det är väl väsentliga skillnader?

Rent tekniskt behöver faktiskt inte https vara krypterad. Det enda https säger till webbläsaren är att använda port 443 i stället för port 80. Dessutom kan http faktiskt också vara krypterad.

 

Sedan är syftet med https att det skall vara krypterat. Så en administratör som sätter upp en okrypterad anslutning på port 443 är inte särskilt smart. Du ser om sidan är krypterad eller inte genom hänglåset.

 

Lite teknisk info (förenklad) om hur det krypteras. Webbläsaren adresserar port 80 (http), port 443 (https) eller annan port om man skriver :portnummer och skickar i klarttext över vilken sida som önskas. Server svarar i klartext "denna sida är krypterad med denna nyckel". Klienten kollar om den har nyckeln (de flesta kommersiella nycklar är förinstallerade) och skickar en ny begäran som nu är krypterad och servern svarar med sidan man begärt, krypterad med nyckeln.

Link to comment
Share on other sites

Rent tekniskt behöver faktiskt inte https vara krypterad. Det enda https säger till webbläsaren är att använda port 443 i stället för port 80. Dessutom kan http faktiskt också vara krypterad.

 

Sedan är syftet med https att det skall vara krypterat. Så en administratör som sätter upp en okrypterad anslutning på port 443 är inte särskilt smart. Du ser om sidan är krypterad eller inte genom hänglåset.

 

Lite teknisk info (förenklad) om hur det krypteras. Webbläsaren adresserar port 80 (http), port 443 (https) eller annan port om man skriver :portnummer och skickar i klarttext över vilken sida som önskas. Server svarar i klartext "denna sida är krypterad med denna nyckel". Klienten kollar om den har nyckeln (de flesta kommersiella nycklar är förinstallerade) och skickar en ny begäran som nu är krypterad och servern svarar med sidan man begärt, krypterad med nyckeln.

Häri ligger lite av mina funderingar. Man måste alltså ha koll på hänglåset även om man är på en "säker" server. För om det är så lätt att lura folk att tro att det är säkert bara för att adressen är https är det ju inte bra. Tydligen är det även så att man inte bara kan stirra på hänglåset. Både https och hänglås måste finnas har jag hört.

Link to comment
Share on other sites

Häri ligger lite av mina funderingar. Man måste alltså ha koll på hänglåset även om man är på en "säker" server. För om det är så lätt att lura folk att tro att det är säkert bara för att adressen är https är det ju inte bra. Tydligen är det även så att man inte bara kan stirra på hänglåset. Både https och hänglås måste finnas har jag hört.

Tja, inte riktigt men nästan.

 

Hänglås = krypterad sida, inget hänglås = okrypterad sida.

 

Sedan kan faktiskt en okrypterad sida innehålla en "frame" eller en "iframe". Det är en komponent i en ram som får sin HTML-kod från en annan sida. Denna andra sida kan då vara krypterad. Sådana sidor brukar dock ge varningar i webbläsaren (om man inte stängt av den varningen).

 

Slutligen kan man ha ett formulär på en okrypterad sida, t ex inloggningsformulär, som när man klickar på knappen skickar inloggningsinformationen vidare till en krypterad sida. Formuläret definieras i HTML som:

 

<form method="post" action="https://x.x.x/xx">

 

vilket betyder att vid "submit", alltså tryck på en knapp eller liknande, så är det https://x.x.x/xx som anropas och som får informationen från formuläret, krypterat.

Link to comment
Share on other sites

<form method="post" action="https://x.x.x/xx">

 

vilket betyder att vid "submit", alltså tryck på en knapp eller liknande, så är det https://x.x.x/xx som anropas och som får informationen från formuläret, krypterat.

Vad är skillnaden mellan det här och när sidan man anropar ifrån också är säker? Dvs sidan där man skriver inloggningsuppgifterna.

Link to comment
Share on other sites

Jag har hört att det inte ska vara någon risk för fishing om man skriver in https-adressen till t.ex. sin bank medan http-adressen kan vara kapad och att man hamnar fel även om man skriver in rätt adress. Alltså så kallad dns-förgiftning. Någon som vet om det stämmer att man är säker ifrån det om man skriver in https-adressen?

Link to comment
Share on other sites

Vad är skillnaden mellan det här och när sidan man anropar ifrån också är säker? Dvs sidan där man skriver inloggningsuppgifterna.

Ingen skillnad mer än att man inte ser hänglåset.

Link to comment
Share on other sites

Jag har hört att det inte ska vara någon risk för fishing om man skriver in https-adressen till t.ex. sin bank medan http-adressen kan vara kapad och att man hamnar fel även om man skriver in rätt adress. Alltså så kallad dns-förgiftning. Någon som vet om det stämmer att man är säker ifrån det om man skriver in https-adressen?

Nej det är du inte, bara delvis.

 

Certifikatet som din bank har för att kryptera sidan innehåller domännmanet. Om detta inte sämmer överrens med den adress du skriver, så kommer webbläsaren att ge dej en varning. Bluffaren kan nämligen inte skaffa sig ett certifikat med ett domännamn som de inte äger.

 

Däremot skulle det gå för bluffaren att ha en https-sida utan certifikat som ser ut som bankens. Fast då ser du förståss inget hänglås.

Link to comment
Share on other sites

Kan någon lägga upp en bild på hur en sida med hänglås ser ut, har aldrig sett det. :o

Använder tre banker SEB, Nordea och GE Moneybank, de har inga hänglås men väl https.

 

Med vänlig hälsning

Olli

Link to comment
Share on other sites

Jag har hört att det inte ska vara någon risk för fishing om man skriver in https-adressen till t.ex. sin bank medan http-adressen kan vara kapad och att man hamnar fel även om man skriver in rätt adress. Alltså så kallad dns-förgiftning. Någon som vet om det stämmer att man är säker ifrån det om man skriver in https-adressen?

 

Jo, det finns en risk. HTTPS och certifikat är inte helt säkert om man inte har koll på certifikaten. En tänkbar situation är en man-in-the-middle-attack där en bedragare sätter sig mellan dig och t ex banken. I så fall kan man råka ut för att trafiken visserligen är krypterad, men bara mellan dig och bedragaren, som i sin tur kan läsa den i klartext.

 

Möjligen får man en varning i webbläsaren, men jag tvivlar på att särskilt många skulle göra annat än att bara klicka bort den och anta att allt var i sin ordning. För att skydda sig bör man egentligen bege sig till banken och där begära ut certifikatet så att man kan jämföra när man sedan använder Internetbanken.

Link to comment
Share on other sites

Kan någon lägga upp en bild på hur en sida med hänglås ser ut, har aldrig sett det. :o

Använder tre banker SEB, Nordea och GE Moneybank, de har inga hänglås men väl https.

 

Med vänlig hälsning

Olli

I Firefox finns hänglåset längst till höger i adressfältet och längst ner till höger i statusfältet.

 

post-528-1198313157.png

 

I Safari finns hänglåset längst upp till höger.

 

post-528-1198313248_thumb.png

Link to comment
Share on other sites

I Firefox finns hänglåset längst till höger i adressfältet och längst ner till höger i statusfältet.

 

post-528-1198313157.png

 

I Safari finns hänglåset längst upp till höger.

 

post-528-1198313248_thumb.png

 

Tusen tack! :)

 

Med vänlig hälsning

Olli

Link to comment
Share on other sites

I Firefox finns hänglåset längst till höger i adressfältet och längst ner till höger i statusfältet.

 

post-528-1198313157.png

 

I Safari finns hänglåset längst upp till höger.

 

post-528-1198313248_thumb.png

 

Tusen tack! :)

 

Med vänlig hälsning

Olli

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...