Hvorfor HTTPS?

af Morten Empeño

---

Skrevet Saturday, September 23, 2017

---

---

Det er rigtig simpelt

Ofte er der meget komplekse problemstillinger, når du er indehaver af et website. Der er meget tekniske områder, som du skal forholde dig til. Med hensyn til om dit website skal køre HTTP eller HTTPS er det hele heldigvis rigtig simpelt:

Du skal ALTID bruge HTTPS på dit website.

Hvis dit webbureau ikke allerede har opfordret dig til det, eller måske allerede har gjort det for dig, skal du ikke tøve et sekund: find et andet webbureau. I min bog kan der kun være to grunde til at et webbureau leverer et website uden HTTPS:

• Dovenskab
• Inkompetence

Normalt vil jeg ikke være så hård i retorikken. Men jeg beskæftiger mig med web, og jeg ved at rigtig mange privatpersoner og virksomheder får hacket deres website og får kompromiteret deres personlige data hver eneste dag, så jeg synes det er fuldstændig ansvarsløst at gå stik imod alle sikkerhedseksperternes klare råd om at benytte HTTPS. Der er ikke en eneste ekspert i IT sikkerhed i hele verden, der anbefaler at drive et website på HTTP, så hvis dit webbureau alligevel driver dit website på HTTP, og ikke i klare vendinger har gjort dig opmærksom på at det er verdens dårligste idé, så er de ikke fem flade ører værd. Skift dem ud!

Hvordan fungerer et website

En hjemmeside ligger på en eller flere servere. Når du som bruger tilgår et website fra din PC, MAC, tablet eller fra din mobiltelefon, sker der det, at du allerførst sender noget data. Det kaldes et request. Det er i dette allerførste request, at du beder om at få vist en hjemmeside.

Det næste der sker, er at der sendes noget data tilbage til dig. Det kaldes et repsonse. Din browser (Chrome, Internet Explorer, Firefox, Safari eller hvad du nu bruger) behandler dette response. Browseren tolker svaret, og omformer det til noget visuelt, som så præsenteres for dig. Det er egentlig det der helt grundlæggende sker, når du tilgår en hjemmeside - meget simplificeret.

På mange hjemmesider vil det være muligt som bruger at indtaste noget data. Det kan være i en formular, hvor du kan tilmelde dig et nyhedsbrev, eller det kan være i et flow hvor du laver et køb, og hvor du typisk indtaster en række data som navn, adresse, kreditkort oplysninger mv. Når du har indtastet dine data, vil du typisk skulle klikke på en knap, der medfører at der igen sendes en masse data - blandt andet det du har indtastet. - og du vil typisk også få et svar tilbage, som din browser behandler.

Altså... når man tilgår et website og agerer på det, sendes der en masse data frem og tilbage.

Hvad er HTTPS?

Data der kører mellem din browser og det website, du kigger på, kører over noget, der hedder en protokol. For efterhånden mange år siden var det normalt og accepteret at hjemmesider benyttede HTTP som protokol. HTTP står for Hyper Text Transfer Protocol. Men det blev også tydeligt for flere år siden, at der var en stor risiko ved at sende data frem og tilbage via HTTP, da al data bliver sendt i "klar tekst" - hvilket vil sige, at det principielt kan læses direkte af alle. Man ønsker jo ikke at andre ser det password eller de kreditkortoplysninger, man lige har indtastet. Og det er desværre alt for nemt at opfange, hvis dit website kører HTTP. Alene en email adresse eller en privat adresse er noget du skal beskytte, da det er data der henfører til en person. Pas på dit eget data - og pas på andres data, hvis du er indehaver af et website. Det er DIT ansvar.

Omkring år 2010 blev det mere eller mindre normalt at beskytte hjemmesider, der behandlede sensitiv data, med HTTPS. Det sidste S, der er tilføjet til HTTP protokollen, står for SECURE. Simplificeret kan man sige at mens man kan læse al data, når man benytter HTTP, så er HTTPS til sikker kommunikation. Den primære motivation til HTTPS er altså sikkerhed og beskyttelse af dit wesbite og dine brugere. Ved at bruge HTTPS sikrer du, at det data der sendes frem og tilbage er krypteret, hvilket vil sige at det ikke kan læses som "klar tekst". Måske har du som barn prøvet at løse opgaver, hvor man skulle afkode en tekst, der var skrevet som symboler? Det kunne være at et E var lavet som en firkant, mens et T var lavet som en cirkel osv. Du kan sammenligne det lidt med denne form for opgaver. Det data der sendes frem og tilbage er kodet, så andre ikke kan læse det. Igen meget simplificeret.

Læs eventuelt mere om HTTPS her - men det bliver hurtigt en anelse teknisk.

HTTPS beskytter integriteten på dit website

Ved at benytte HTTPS gør du det meget mere vanskeligt for en ondskabsfuld hacker, at komme ind og manipulere med den data, der sendes mellem dit website og din brugers browser. Der findes faktisk også helt legitime virksomheder, der hoster websites, der kan finde på at manipulere med data mellem dit website og din bruger, ved eksempelvis at indsætte reklamer på din hjemmeside.

Dem der manipulerer med trafik mellem et website og en bruger kaldes en Intruder.

De kan ret nemt udnytte ubeskyttet kommunikation til at snyde brugeren til at give dem sensitiv information - eller de kan installere malware på brugerens maskine. De kan også indsætte deres egen reklame på dit website. Det er ofte set, at en Intruder (også kaldet en tredje part) indsætter reklamer på et website - og det kan bryde hele brugeroplevelseb og det kan skabe sikkerhedshuller. Helt fundamentalt ønsker man jo overhovedet ikke, at nogen som helst kan manipulere med dit website på nogen som helst måde. I værste fald kan du jo pludselig opleve at have en ny side med porno, links til obskure kasino sites osv.

Er der overhovedet en risiko?

Du tænker måske (formentlig?) at det sker nok ikke for dig. Jeg hørte en podcast i går, hvor en mand fra IT branchen fortalte hvordan hans private hjemmeside var blevet hacked. Der var blevet oprettet en ny side på hans website, og på denne side var der neop helt fyldt med links til alle mulige porno sider og meget andet snavs. Her var der tale om en WordPress hjemmeside.

Han opdagede det kun, fordi en ven havde søgt på hans navn i Google, og pludselig kunne se at de første mange hits var til diverse "grimme" sider. Han kan altså have være hacked i længere tid, og de ondskabsfulde intruders kan have benyttet hans hjemmeside i en længere periode.

Dette er blot et konkret eksempel. Der er RIGTIG mange hjemmesider, der hackes hver eneste dag. Og der er RIGTIG mange hjemmesider, der er hacked uden at indehaveren af websitet overhovedet aner det. Hacking af hjemmesider stiger hurtigere end du formentlig kan forestille dig. Alene i 2016 skønner Google at der var en stigning på 32 % i antallet af hackede hjemmesider. Kilde: SearchEngineLand

- og der er desværre en masse danske hjemmesider, der bliver hacked dagligt, og der er mange danske hjemmesider der allerede har været det og er det i skrivende stund.

Hvis dit webbureau siger, at der ikke er en risiko - så skal du bare finde et andet bureau, og det skal du gøre allerede nu.

Og igen... hvis dit webbureau ikke har fået dig over på HTTPS, så er der slet ingen grund til at overveje noget som helst. Skift dem ud. Der er rigtig mange ting, man skal have styr på rent sikkerhedsmæssigt, når man laver en hjemmeside. Har de ikke styr på HTTPS, så mangler de en helt grundlæggende forståelse for web som platform - og så vil jeg næsten garantere for, at der er alle mulige andre sikkerhedsproblemer også.

Du kan jo lige se, om du tør læse denne artikel: Han kan hacke hver anden dansker

Og her kan du jo så igen se, at HTTPS er noget du SKAL have. Som minimum.

Hvorfor er der stadig HTTP hjemmesider?

Jeg har talt med flere venner, kunder og bekendte om vigtigheden af HTTPS. Desværre kan jeg ikke trænge igennem. Det må skyldes min manglende evne til at formulere risikoen ordentligt, kombineret med at det måske er et kedeligt og teknisk emne. Derfor valgte jeg så denne morgen at skrive dette blogindlæg - for jeg skal jo ikke bare give op :)

Flere er lidt mistrosike, og nævner at der findes webbureauer, der stadig laver hjemmesider, der kører fint på HTTP. Og det er her at hele branchen indenfor web er en anelse anderledes end andre brancher. Hvem som helst kan lave et firma, der laver hjemmesider. Hvem som helst kan med ganske lille indsats få en hjemmeside til at se flot ud. - og det er meget ofte det folk kigger efter, når de køber en hjemmeside. Af en eller anden grund vil man ikke bruge energi på at teste kvaliteten og sikkerheden på en hjemmeside, inden man køber den.

Sammenligner man med eksempelvis bilbranchen, så ville det jo være helt umuligt for mig, at lave et firma, der solgte biler, lavet af naboens fætter i garagen, hvis disse ikke levede op til et minimum af sikkerhed. Kom jeg af sted med at sælge et par stykker, ville der sikkert ikke gå længe før jeg var i medierne, og før jeg havde en forarget befolkning imod mig.

Fødevareindustrien - tænk hvis jeg lavede mit eget lille firma, der solgte en fødevare hvor man helt sikker vidste, at der var en risiko for at flere tusinde mennesker fik en maveforgiftning hvert år. Nope. Det ville ikke blive tilladt.

Måtte jeg bygge og sælge huse, hvis man vidste at en stor procentdel gik i stykker indenfor de første par månede? NOPE.

I næsten alle industrier er der særdeles restriktive regler, der skal sikre forbrugerne. Sådan er det overhovedet ikke i branchen for hjemmesider. Og tro mig - det at lave hjemmesider med en god sikkerhed, er noget mere komplekst end de fleste tror.

Derfor kan du opleve at privatpersoner, der har taget et otte ugers mediekursus, helt legalt kan sælge dig en hjemmeside, selvom den er pivåben for hacker angreb.

Der er RIGTIG mange webbureauer, der har langt mere fokus på bling, flotte farvelader, penge i kassen og lækker salgssnak, end de har på at give dig en sikker hjemmeside. Og der er rigtig mange privatpersoner, der tror de er verdensmestre i at lave hjemmesider, som er parate til at sælge dig en hjemmeside, de kalder topkvalitet, for få tusinde kroner.

Hvordan kan jeg se om min hjemmeside kører HTTPS?

Se først og fremmest om din hjemmeside ligger på HTTPS. Du åbner en browser, og indtaster din hjemmeside adresse. Prøv både med HTTP og HTTPS. I mit eksempel kan jeg altså åbne en browser og indaste http://www.empeno.dk - og så skal der ske det, at man automatisk føres hen på https://www.empeno.dk

Der skal altså stå https som det allerførste i din browser - helt oppe i topen, hvor du kan se adressen på din hjemmeside.

Hvis din hjemmeside ikke gør dette, så er det noget skidt - og så skal det laves om. - allerede i dag. Det er jo ikke kun din egen sikkerhed, det er også dine brugeres sikkerhed du har ansvar for.

Hvis du stadig er skeptisk ift. om det er nødvendigt, kan du jo kigge på nogle af de store websites i Danmark og i verden. De kører HTTPS. Hvorfor mon de gør det? Fordi de for flere år siden har fundet ud af, at det er forbundet med alt for stor risiko at køre HTTP.

Du kan desuden nemt få en grundlæggende idé om kvaliteten af din hjemmeside, ved eksempelvis at bruge GTmetrix

Den fortæller dog ikke noget om sikkerheden. Men er den generelle kvalitet lav, så er det måske ikke så sansynligt, at sikkerheden er i top.

Skal du have en grundig sikkerhedsanalyse, bør man bruge specielle værktøjer. Desværre kan disse værktøjer også misbruges, så derfor vil jeg undlade at nævne specifikke værktøjer her. Men der er altså tools, der kan teste dit site - og der er også tools, der kan prøve at hacke dit website med henblik på at finde diverse sikkerhedshuller.

Men er jeg nu verdensmester?

Nej, jer er absolut ikke en super verdensmester ekspert i IT og web sikkerhed. Jeg ved måske 1 % af alt hvad der er værd at vide om sikkerhed indenfor IT og web. Men det er mere end rigeligt til at jeg ved, at du aldrig skal køre et website på HTTP - og siger dit webbureau at det ikke er noget problem, at dit site kører HTTP, så er jeg lodret uenig. - og det er Google og enhver sikkerhedsekspert i hele verden i øvrigt også. Bed dem give én eneste god grund til at køre et site på HTTP. Hvis de kan det bare én god grund, så giver jeg både dem og dig en pakke flødeboller.

Derimod er der al mulig grund til at køre HTTPS. Sikkerhed for dig og dine brugere, bedre ranking og at udvise professionalisme er måske de vigtigste.