Firesheep, kryptering og mine rulesets for HTTPS Everywhere

Merk: Denne teksten er mer enn ett år gammel. Jeg kan ikke garantere at alt som står her fremdeles er riktig eller det jeg mener. Les likevel og skriv en kommentar om du lurer på noe! English: Old post, might be outdated.

Oppdatering: Rulesetene jeg har laget og linket til under er nå inkludert i utvikler/test-versjonene av HTTPS Everywhere. Du kan installere den nyeste av disse ved å klikke her.

I det siste har det vært mye snakk om Firesheep, en ekstremt enkel måte å logge seg inn på andre folk sine kontoer hos blant annet Facebook. At det er lett å lytte til informasjon sendt over nett, og så bruke det til hva man vil, som for eksempel å logge seg inn på andres kontoer, er ikke noe nytt. Men Firesheep gjør det så enkelt for hvem som helst å gjøre dette at det er lettere å se faren.

En måte å beskytte seg mot dette på er å bruke krypterte nettsider. Med kryptering blir det, om ikke umulig, så ihvertfall mye vanskeligere for tredjeparter å få tak i informasjonen som sendes fram og tilbake mellom deg og nettsiden. Du kan se om en side er kryptert ved å se etter om det står https:// istedenfor den vanlige http:// i starten av adressen (s for “secure”). De fleste nettlesere har også andre innebygde måter å vise at en side er kryptert på, som for eksempel en hengelås i adressefeltet, og/eller at hele adressefeltet farges gult.

Det er viktig å huske på at om siden du går inn på med kryptering bruker Google AdSense, Google Analytics, liker-knappen til Facebook eller annen kode som sender informasjon til andre, så vil fremdeles Google/Facebook/whatever få den samme infoen som før*. Det er utenforstående som ikke har kode inne på sida du går inn på og som prøver å lytte til hvilken info som sendes mellom deg og siden som blir stoppet. Det er også veldig viktig å huske at hvem som helst kan kryptere sidene sine, så at en side er kryptert betyr ikke at det er trygt å gi dem personlig informasjon. Siden mange banker og nettbutikker krypterer sidene sine vil også mange som prøver å lure folk til å tro at de er en bank eller nettbutikk (phishing) gjøre det samme.

HTTPS Everywhere er en Firefox-utvidelse fra den fantastiske organisasjonen EFF som automatisk videresender deg fra den ukrypterte versjonen av en nettside til den krypterte. Dette gjelder kun for de nettsidene HTTPS Everywhere vet at fungerer med https. Utvidelsen kommer med en innebygd liste over noen slike sider, som for eksempel Google, Facebook og Identi.ca. Jeg har laget noen rulesets for sider som ikke er på denne listen. Jeg kan ikke garantere at dette ikke vil knekke noen deler av disse sidene, fordi det ofte er slik at nettsider bare har kryptert deler av sidene. For eksempel kan du bruke https på det meste av finn.no, men ikke på katalog.finn.no og noen flere områder.

Hvis du likevel vil ta sjansen og hjelpe meg å teste om disse rulesetene funker som de skal, så gjør du følgende:

Installer HTTPS Everywhere og start Firefox på nytt. Høyreklikk på linkene under og lagre .xml-filene i mappa HTTPSEverywhereUserRules i Firefox-profil-mappa di (I Linux ligger den i ~/.mozilla/firefox. I Windows Vista/7 finner du mappen ved å lime inn %APPDATA%\Mozilla\Firefox i Start-menyen sin søkeboks). Restart Firefox igjen.

Hvis du lager dine egne rulesets så legg link til dem i kommentarfeltet så vi kan teste dem og. Etter å ha testa dem grundig kan vi sende dem inn til EFF så de blir med som standard i senere versjoner av utvidelsen. :)

Bonus-info: Det er ikke bare nettsider som kan krypteres, det kan du også gjøre med egen harddisk, e-post, IM-samtaler, osv. Dette vil jeg sterkt anbefale. Gjør et søk etter “encrypt e-mail”, “encrypt IM”, osv.

Så, hvis https er så flott, hvorfor bruker ikke jeg det her på forteller.net, og hvordan får du satt det opp på din nettside? Svaret er enkelt: Kryptering av nettsider krever at man kjøper et sertifikat, noe som er veldig dyrt. Derfor vil dette sjelden være noe enkeltpersoner bryr seg med. Om du likevel har lyst til å ha dette på din nettside, eller kanskje du har en bedrift som er interessert, så foreslår jeg at du gjør et søk etter “buy ssl certificate”.

NB: HTTPS Everywhere vil gjøre at Google.com ikke linker til Google bildesøk, men du kan fremdeles gå direkte inn på http://images.google.com/. Utvidelsen gjør også at chat-funksjonen på Facebook.com slutter å fungere. Om dette er viktig for deg kan du enten bruke chaten i en klient, eller slå av https på Facebook via HTTPS Everywhere sine innstillinger (selvsagt ikke anbefalt, men bedre enn å slå av hele HTTPS Everywhere). Facebook Chat fungerer nå med HTTPS. Du kan til og med slå på HTTPS i Facebookinnstillingene dine (under Sikkerhetsinnstillinger).

*Oppdatering : Du kan stoppe henholdsvis Google og Facebook fra å få informasjon om deg fra andre nettsider enn sine egne med OptimizeGoogle og Facebook Blocker eller disse filtrene til AdBlock Plus.