Postnord om manglende HTTPS: »De vitale dele på vores hjemmeside er fuldt krypteret«

Flere har undret sig over, hvorfor Postnord.dk ikke er beskyttet med HTTPS. It-chef i Postnord i Danmark Herman Petersson svarer på kritikken.

Selvom der både skal indtastes betalingsoplysninger og personlige oplysninger på Postnords domæne postnord.dk, så kører domænet ikke med HTTPS.

Version2 har på den baggrund den senere tid modtaget adskillige henvendelser fra læsere, der har påpeget den manglende, synlige kryptering.

På postnord.dk kan der eksempelvis indtastes betalingskortoplysninger i forbindelse med køb af pakkeporto, ligesom der skal indtastes personlige oplysninger som mail, navn, adresse og telefonnummer i forbindelse med tilmelding til 'Nej tak til reklamer'-ordningen.

I begge tilfælde er der ikke synlig kryptering i browserens adressefelt.

I forhold til betaling og pakkeporto, så fremgår det dog af skærmbilledet, at kortoplysningerne faktisk bliver sendt krypteret.

Og det gør de også, forklarer it-chef i Postnord i Danmark Herman Petersson.

»Alle de vitale dele på vores hjemmeside er fuldt krypteret med SSL (HTTPS, red),« siger han.

Det vil blandt andet sige, at formularer, hvor der skal indtastes betalingskortoplysninger, ligger indlejret i en iFrame, hvor oplysningerne bliver sendt krypteret.

»Når man bruger de indlejrede dele, så er det ikke altid direkte synligt, det kører med SSL-kryptering. Der har vi været i gang med at omlægge, så det er synligt, selvom vi bruger iFrames,« siger Herman Petersson og fortsætter:

»Der er jo altid en diskussion i forhold til, om iFrames er ok. Vi får at vide fra vores sikkerhedseksperter, at det er helt ok, at anvende den iFramede teknologi. Men det er jo også mere et design-spørgsmål i forhold til, hvordan man bygger sin hjemmeside op.«

Problematikken omkring man-in-the-middle

En af dem, der ikke synes kryptering udelukkende i iFrames er ok, er Version2-læser og senior backend-udvikler Dan Storm. Han har tidligere tilkendegivet sin holdning til emnet her på sitet.

Det var i forbindelse med en artikel, der handlede om en klage til Datatilsynet over, at der manglede synlig HTTPS på en lægehjemmeside. Tilsynet afviste at gå videre med sagen.

Dan Storms kritik i den forbindelse lød blandt andet, at hvis der ikke er HTTPS på hele sitet, så kan indholdet være ændret af en angriber mellem klient og server.

»Når hængelåsen ikke er der, så har brugeren ikke nogen garanti for, at indholdet ikke er ændret mellem serveren og brugeren, der sidder og kigger på siden. Og det er her, problematikken omkring man-in-the-middle kan opstå,« sagde Dan Storm.

Herman Petersson medgiver, at det kan være fornuftigt nok med HTTPS på hele sitet.

»Jeg ved, at det er der nogen virksomheder, der gør. Og det kan jo være fornuftigt nok i forhold til synliggørelse. Men vi har jo også på vores hjemmeside en stor del statiske sider med information, hvor det ikke er nødvendigt,« siger han med henvisning til, at der er mange sider under postnord.dk-domænet, hvor der ikke er formularer, der bliver sendt oplysninger via.

Flere formularer er stadigvæk ikke krypteret

Når det er sagt, så er der også formularer på postnord.dk-domænet, som bliver brugt til at sende personoplysninger, og som i dag ikke sender krypteret.

»Så har vi et par enkelte områder, hvor der er personlige informationer - men absolut ikke vitale personlige informationer - som ikke er krypterede på nuværende tidspunkt. Det er for eksempel sådan noget som 'nej tak til reklamer,' hvor man taster navn, adresse og mail. Og den kommer vi til at være i gang med at omlægge her indenfor den nærmeste fremtid,« siger Hermann Petersson.

Adresse og telefonnummer, som også skal indtastes i formularen, kan i princippet være oplysninger, som er hemmelige. Og det er en medvirkende faktor til, at Postnord i Danmark arbejder på at kryptere data sendt via formularen, giver Herman Petersson udtryk for.

»Vi ved, der er et antal personer, specielt i forhold til hemmeligt telefonnummer, hvor det kan være et issue.«

Hvorfor har I ikke kryptering på hele postnord.dk-domænet?

»Vi er i gang med at konsolidere vores nordiske sites. Og vi har besluttet at prioritere, at det skal være synligt på de vitale dele først (ePosthuset o.lign., red.). Og der ligger ikke på nuværende tidspunkt en overordnet beslutning om, at hele sitet skal være HTTPS,« siger Herman Petersson.

Datatilsynet stiller i udgangspunktet kun krav om kryptering ved overførsel af følsomme oplysninger via hjemmesider, ved overførsel af personnumre via hjemmesider og i tilfælde, hvor 'behandlingen af personoplysninger i den private sektor sker efter tilladelse med vilkår om konkrete sikkerhedsforanstaltninger ved transmission over internettet.'

Det kan du læse mere om på Datatilsynets hjemmeside her.