Notkun https á heilum vefsvæðum
Viðtekið er að vefsíður á Netinu noti Http staðalinn til þess að miðla efni til notenda sinna en að Https sé sett upp til hliðar við annað efni ef boðið er uppá læstar síður á borð við netbanka, síður sem taka á móti kreditkortaupplýsingum, innskráningum eða öðru viðkvæmu efni. Https er skammstöfun fyrir Hypertext Transfer Protocol Secure og er blanda tveggja staðla Http og SSL/TLS sem í stuttu máli dulkóðar samskiptin sem eiga sér stað á milli vefmiðlara og vefþjóns.
Eldkindur og auðveldara aðgengi
Að undanförnu hefur umræða um það hvort nauðsynlegt sé að nota Https á vefsíður í heild sinni, en ekki aðeins á þeim hluta vefja sem þarfnast sérstakra öryggisráðstafana, orðið háværari. Það sem einkum kyndir undir slíka umræðu eru þær breytingar sem orðið hafa á netnotkun hjá almenningi. Nú er boðið upp á opnar WiFi tengingar á kaffihúsum og opinberum stöðum í ríkari mæli en áður og umferð um netið er að færast meira yfir á síma og spjaldtölvur sem aftur leiðir til þess að allir eru alls staðar á netinu.
Á sama tíma hefur bæði aðgengi og viðmót að ýmis konar hakkara-hugbúnaði batnað. Hér má til að mynda nefna viðbót við Firefox vafrann sem nefnist Firesheep og gerir stuld á kökum vefnotenda auðveldari en áður. Þetta er tækni sem hefur verið til í mörg ár en með bættu viðmóti hefur hún verið opnuð fyrir fleirum en lokuðum hópi tölvunörda.
Ef Firesheep er notað yfir opið WiFi net er mögulegt að taka yfir netnotkun þess sem notar vefsíðu á Http og fá þannig aðgang að kökum (cookies) sem síðan er hægt að nota til að senda á vefi á borð við Facebook og komast þar inn undir fölsku flaggi. Notkun Https gerir slíkan stuld mun erfiðari og því hefur sú spurning komið fram hvort nota ætti Https í ríkara mæli en áður til að stemma stigu við þessu.
Léttara um að ræða en í að komast
Ef Https er svona miklu öruggari samskiptastaðall af hverju eru þá ekki helstu vefsetur heimsins komin með hann í notkun á öllum sínum vefsíðum? Fyrir því eru ýmsar ástæður sem fróðlegt getur verið að fara í gegnum:
Hægagangur?
Það er staðreynd að fleiri köll þarf á milli vefmiðlara og vefþjóns þegar Https samskiptum er komið á sem hægir að einhverju leyti á hleðslu vefsíðna auk þess sem notkun flýtiminnis er erfiðari í https en http, þó að finna megi leiðir til þess að nota flýtiminni með https. Aðrir hafa bent á að þessi hægagangur sé óverulegur og hafa tölur eins og 1% aukning í CPU og 2% aukning á netumferð verið nefndar í því sambandi. Margir hafa því slegið þessi rök út af borðinu og bent á að Https sé í raun ekki svo mikið hægara en Http.
Kaup á skírteini og fjöldi léna
Notkun Https krefst þess að skírteini sé keypt fyrir ákveðið lén og þó svo að kaupa megi það sem nefnt er „wildcard“ skírteini eða opið skírteini sem nota má líka fyrir fjölda undirléna þá er til að mynda litið á notkun léns með og án www sem tvö ólík lén. Þannig væru mbl.is og www.mbl.is tvö ólík lén þegar kæmi að skírteinaútgáfu. Þetta gæti valdið notendum vanda sem stökkva á milli ólíkra léna og gætu þeir þá fengið viðvörun frá vafranum um að þeir séu að fara af öruggu svæði yfir á óöruggt. Leið framhjá þessu gæti verið að áframsenda notendur alltaf yfir á www útgáfu lénsins hvort sem þeir nota þá útgáfu til þess að komast inn á vefsvæðið eður ei.
Allt byggingarefni vefsíðunnar verður að vera https
Notkun https er líka krefjandi fyrir vefara og vefstjóra sem ekki geta leyft sér að nota efni á borð við myndir á öðru en https slóð þar sem ýmsir vafrar vara notendur við að síðan sem þeir eru að skoða sé ekki að öllu leyti örugg, á henni sé bæði öruggt og óöruggt efni. Þetta getur í verstu tilvikum kallað fram viðvörunarglugga sem ótækt er að láta notendur fá upp þegar þeir heimsækja vefsvæði. Ýmis ráð eru til við þessu á borð við það að nota afstæðar slóðir á myndir (relative url) sem komast þá hjá viðvörunum. Þetta getur þó reynst erfiðara þegar efni er fengið frá þriðja aðila og ekki er unnt að breyta slóðum á þennan veg.
Fleiri atriði væri hægt að tína til sem tengjast til að mynda vanda stórra vefsvæða erlendis sem nota efnisveitur á borð við Akamai eða vandann við það að taka við efni frá notendum í gegnum athugasemdakerfi þar sem mögulega getur borist inn efni á vefsvæðið sem ekki er Https.
Niðurstaðan
Af framansögðu er ljóst að erfitt getur reynst að koma öllu vefefni yfir á Https staðalinn þó svo að frá öryggissjónarmiði sé það mjög fýsilegur kostur. Ef margir tækju sig til og einhvers konar samhent átak væri gert yrði aðgerðin þó einfaldari en þegar öllu er á botninn hvolft má þó segja að Https geri mun meiri kröfur til vefstjórnenda í daglegum rekstri.
Þessi niðurstaða er í takt við það hversu fáir hafa enn tekið Https staðalinn upp til notkunar á vefsvæðum í heild. Eitt af þeim íslensku dæmum sem ég rakst á við ritun þessarar greinar er þó Mp-banki sem hefur leyst prýðilega úr sínum málum og hægt er að vafra þar um vefsvæðið í heild án þess að fá upp viðvaranir um notkun á óöruggu efni. Frá þessu er þó sú undantekning að enskur partur síðunnar sem er á sér léni er án Https en slíkt veldur þó ekki vanda miðað við uppsetninguna. Það kann því að vera að fleiri muni bætast í hópinn þegar fram líða stundir og hökkurum og öðrum óprúttnum aðilum verði gert erfiðara fyrir að nálgast viðkvæm gögn á netinu.
Höfundur: Þorfinnur Skúlason, þróunarstjóri veflausna Nova
Heimildir:
http://arstechnica.com/business/2011/03/https-is-great-here-is-why-everyone-needs-to-use-it-so-ars-can-too/
http://security.stackexchange.com/questions/258/what-are-the-pros-and-cons-of-site-wide-ssl-https
http://en.wikipedia.org/wiki/HTTP_Secure
http://www.troyhunt.com/2013/09/the-complete-guide-to-loading-free-ssl.html
Skil á efni
Leita í vefútgáfu Tölvumála
Um Tölvumál
Tölvumál - tímarit Skýrslutæknifélags Íslands er óháð tímarit um tölvutækni og hefur verið gefið út frá árinu 1976.
Vefútgáfa Tölvumála birtir vikulega nýja grein á vef Ský og árlega er gefið út veglegt prentað tímarit undir nafninu "Tölvumál" þar sem fjallað er um tölvutækni frá ýmsum sjónarhornum og er þema blaðsins jafnan valið snemma árs og útgáfa að hausti.
Ritnefnd Ský sér um að afla efni í Tölvumál og geta allir sem áhuga hafa sent inn efni.