lørdag 29. oktober 2011

Ingen https

Why does https://www.blogger.com get redirected to non-SSL?
Godt spørsmål.

Jeg la merke til at det ikke går an å bruke SSL, eller "https", sammen med blogger.com. I tråden over ble det spurt hvorfor det er slik.

Jeg har forståelse for at dette ikke er aktivert som standard på bakgrunn av ressursbruk, men at man blir videreført til ikke-https side når man manuelt spesifiserer https i nettadressen er ikke godt nok.

Google eier blogger.com og de er stort sett flinke med å støtte https på de andre domenene sine. Det ser jeg når jeg bruker en mine favoritt Firefox tillegg som heter HTTPS-Everywhere. Nevnte nettlesertillegg bytter automatisk over til https adresse når dette er tilgjengelig.

Riktig nok mellomlander man på en side som bruker https når man logger inn på blogger.com og det er ikke sensitivt det man skrive i bloggen. Men bekymringen er at sesjonen sannsynligvis er lett å kapre slik at uvedkommende kan slette innlegg og gjøre annen skade på bloggen uten at du merker noe. Jeg antar blogger.com sesjonen ikke vil gi uvedkommende tilgang til andre Google tjenester, men hvem vet uten å undersøke nærmere.


Jeg er ikke så bekymret som jeg høres ut som, men på grunn av https mangelen vil jeg ikke anbefale noen å bruke blogger.com på offentlige trådløse nettverk uten at man tenker seg om først. Om man føler sterk trang til å bruke blogger.com når man er langt fra hjemmet så finnes det alltids billige vpn-tjenester (ett tema for ett annet blogginnlegg). Når man er tilkoblet internett hjemme og bruker god trådløs kryptering som WPA 2 så er mangelen på https normalt ikke noe problem.

Om mulig en smule tabloid journalistikk, sist ukes Brennpunkt på NRK dekket problemstillingen med hvor effektivt en sesjon kan kapres når man ikke bruker https og befinner seg på usikre nettverk. Se innslaget her.