Få ridklubbar använder sig av TLS på sina hemsidor

[turvallisuus]

De senaste veckorna har jag kartlagt vilka av Sveriges ridföreningar som använder sig av krypterad dataöverföring (TLS, även känt som HTTPS/SSL) på sina hemsidor. Det visar sig att knappt över hälften av de 862 föreningarna har en godkänd TLS-anslutning. [1] Detta resultat var aning lägre än vad jag hade hoppats, men då jag upprepade gånger har sett hemsidor utan TLS så var det inte särskilt förvånande.

Den 25:e maj 2018 trädde EU:s GDPR lag i kraft, där de specifikt skriver att hemside-ägare ska skydda datan som skickas till och från servern (där hemsidan ligger), vilket indirekt betyder att TLS ska användas. [2] Nästan två år har gått sedan det datumet, dock har nästan 50% av föreningarna struntat i detta (eller missat det totalt).

Varför är det så? Vem det än är som har hand om en förenings hemsida, har inte denna eller de personer ett ansvar att hålla reda på vilka krav och lagar som finns för att på ett godtyckligt sätt skydda både sig själva som administratörer men också klubbmedlemmar som användare mot dataintrång och integritetsfrågor?

Lite bakgrundsinfo för de som inte är insatta i tekniken;

• TLS står för Transport Layer Security och används för att skydda datatrafiken mellan användare och servern mot övervakning, hackers och dataintegritet så att ingen obehörig kan läsa det som skickas mellan partena samt att säkerställa att ingen av datan modifieras under sändning. [3]
• Om en hemsida har TLS aktiverat syns det i webbläsaren genom låsikonen till vänster om addressfältet. Det syns också i själva addressen; står det "https://" är sidan skyddad med kryptering, men saknas s:et, dvs "http://" så saknar sidan kryptering och är därmed sårbar mot attacker.

Undersökningen gjordes i ett ganska dåligt valt tillfälle, under ungefär samma period som jag kollade upp alla hemsidor så gick IdrottOnline (administrationssystemet många föreningar använder sig av) ut med ett informationsbrev där det står att alla ska sätta på HTTPS på sina hemsidor för att Chrome varnar mot osäkra anslutningar annars. [4] (Varför de inte gick ut med information om att aktivera TLS innan Chrome började varna kan man ju fundera på..). Detta var nu några veckor sedan, så andelen föreningar som har TLS aktiverat är nog nu lite högre än de 53% som jag ursprungligen fick fram. Fast detta är ju bara en bra sak!

Mitt mål med denna undersökning var att kartlägga hur ett hörn av IT-säkerheten ser ut, samt för att få fler föreningar att faktiskt aktivera TLS för att skydda sina användare och sin data.

Jag har sammanställt allt i en tabell här: https://draklyckan.se/Ridforeningar_TLS.html. Alla ridföreningar som är registrerade hos Svenska Ridsportförbundet borde vara med om jag inte har missat någon. Tabellen uppdateras kontinuerligt, så om du känner till att någon förening har aktiverat TLS efter februari 2020 så får du gärna skicka ett meddelande till mig.

Ser du att en förening som du är medlem i inte har TLS på sin hemsida så får du jättegärna fråga personen som har hand om sidan att aktivera TLS. Att aktivera det går ganska snabbt och det finns många bra guider online på hur man gör. Använder hemsidan/föreningen sig av IdrottOnline så finns det en knapp (här) i inställningarna som gör allt jobb åt en, annars är Let's Encrypt gratis och bra.

 

[cewe]

Vår är certifierad men står som ocertifierad i din lista

 

[turvallisuus]

Vår är certifierad men står som ocertifierad i din lista

Ska fixas snarast, vad är namnet på föreningen?

 

[craxgard]

Vilket bra initiativ! Mycket viktigt när det hanteras personuppgifter att de sänds krypterat. Kollade av föreningarna här i närheten i listan och det verkar vara ett stort antal som nyligen aktiverat TLS:

• Arvika RK
• Christinehamns RK
• Forshaga Ryttarförening
• Färjestads RK
• Föreningen Värmlands Distansryttare
• Hammarö RF
• Karlskoga Ridklubb
• Karlstads RK
• Storfors Ridklubb

(Jag kan spontant känna att IdrottOnline borde tvingat föreningarna att aktivera TLS för länge sedan, men det är som sagt en annan fråga)

 

[Lobelia]

Har du även analyserat behovet? En ren informationssida som jag sett flera klubbar använder har ett mycket begränsat behov att skydda datan, syftet är att göra den ofentlig, ,jämfört medmed en som hanterar anmälningar/försäljning/bokningar/avbokningar etc.

Klart alla sidor kan hackas och säkerhet är bra, men behovet är klart varierande.

 

[turvallisuus]

Vilket bra initiativ! Mycket viktigt när det hanteras personuppgifter att de sänds krypterat. Kollade av föreningarna här i närheten i listan och det verkar vara ett stort antal som nyligen aktiverat TLS:

• Arvika RK
• Christinehamns RK
• Forshaga Ryttarförening
• Färjestads RK
• Föreningen Värmlands Distansryttare
• Hammarö RF
• Karlskoga Ridklubb
• Karlstads RK
• Storfors Ridklubb

(Jag kan spontant känna att IdrottOnline borde tvingat föreningarna att aktivera TLS för länge sedan, men det är som sagt en annan fråga)

Tackar, alla av dem har aktiverat det sedan jag kollade senast. Jag har uppdaterat listan.

Jag har för mig att dom rekommenderade att man skaffade TLS för något år sedan, men än så länge tvingar dom ingen att aktivera det, men det kanske ändras i framtiden.

 

[turvallisuus]

Har du även analyserat behovet? En ren informationssida som jag sett flera klubbar använder har ett mycket begränsat behov att skydda datan, syftet är att göra den ofentlig, ,jämfört medmed en som hanterar anmälningar/försäljning/bokningar/avbokningar etc.

Klart alla sidor kan hackas och säkerhet är bra, men behovet är klart varierande.

Helt klart sant, men även hemsidor som inte innehåller någon känslig information behöver skyddas. Det är inte enbart informationen som färdas till och från sidan som är känslig, utan själva sidan i sig också. En hemsida som inte har TLS kan utsättas för "mannen-i-mitten" attacker där en person t.ex. ersätter en bild på hemsidan med en annan som visar något olämpligt eller rent av implementerar ett skript med skadlig kod som kan göra lite allt möjligt från att omdirigera användaren till en helt annan webbsida till att försöka komma åt användarens filer.

TLS gör så att användaren (med största sannolikhet) vet att allt innehåll på hemsidan har levererats korrekt, utan att ha blivit modifierat eller övervakat av en tredje part.

 

[TheRedLightning]

Har du även analyserat behovet? En ren informationssida som jag sett flera klubbar använder har ett mycket begränsat behov att skydda datan, syftet är att göra den ofentlig, ,jämfört medmed en som hanterar anmälningar/försäljning/bokningar/avbokningar etc.

Klart alla sidor kan hackas och säkerhet är bra, men behovet är klart varierande.

Jag vet att den klubben jag rider på fick sin hemsida hackad för några år sedan, så gick man in på den kom man in på värsta porrsidan. Vet ej vad som hände efter det.
Vet att hemsidan används i princip enbart till uppkommande tävlingar och andra händelser.

 

[Lobelia]

Helt klart sant, men även hemsidor som inte innehåller någon känslig information behöver skyddas. Det är inte enbart informationen som färdas till och från sidan som är känslig, utan själva sidan i sig också. En hemsida som inte har TLS kan utsättas för "mannen-i-mitten" attacker där en person t.ex. ersätter en bild på hemsidan med en annan som visar något olämpligt eller rent av implementerar ett skript med skadlig kod som kan göra lite allt möjligt från att omdirigera användaren till en helt annan webbsida till att försöka komma åt användarens filer.

TLS gör så att användaren (med största sannolikhet) vet att allt innehåll på hemsidan har levererats korrekt, utan att ha blivit modifierat eller övervakat av en tredje part.

TLS påverkar endast transportlagret, själva överföringen av data - det handlar om att skicka data krypterat. Merparten av det du räknar upp ger TLS inget skydd mot, eller myckt begrännsat då det inte skyddar mot hackning av hemsidan exemelvis att lägga in felaktig information eller skadlig kod, utan mot att hacka kommunikationen mellan webläsaren och hemsidan.

Det är bra att skärpa upp säkerheten, men det är farligt att tro att TLS på något vis skyddar mot att hacka hemsidan. Så fort man skickar information om lösenord, känsliga data, transaktioner mm gör det stor nytta. Nyttan är klart mer begränsad om man informerar om öppettider, ordningsregler, lektionsschema mm.

 

[turvallisuus]

TLS påverkar endast transportlagret, själva överföringen av data - det handlar om att skicka data krypterat. Merparten av det du räknar upp ger TLS inget skydd mot, eller myckt begrännsat då det inte skyddar mot hackning av hemsidan exemelvis att lägga in felaktig information eller skadlig kod, utan mot att hacka kommunikationen mellan webläsaren och hemsidan.

Det är bra att skärpa upp säkerheten, men det är farligt att tro att TLS på något vis skyddar mot att hacka hemsidan. Så fort man skickar information om lösenord, känsliga data, transaktioner mm gör det stor nytta. Nyttan är klart mer begränsad om man informerar om öppettider, ordningsregler, lektionsschema mm.

Du har rätt, TLS skyddar datan som överförs, jag kanske var otydlig med vad jag menade.

Om en hemsida inte använder sig av TLS så är det möjligt för någon att lyssna på datatrafiken och modifiera datan som sänds mellan servern och användaren (känt som MITM [man in the middle] attack). Datan som skickas till användaren när hen besöker en hemsida är oftast HTML, CSS och JavaScript. En hacker kan då t.ex. ersätta vissa HTML element (så som text och länkar) så att det står något helt annat på hemsidan eller göra så att länkar skickar en till fel sidor. Det går också att ändra eller lägga till JavaScript-kod så att den istället blir skadlig för användaren.

Om du t.ex. letar efter öppettider på en okrypterad hemsida så har du ingen aning om tiderna som står faktiskt är de riktiga. Hade det blivit modifierat under överföringen från servern så hade du inte vetat om det. Det är där TLS kommer in, det verifierar att datan är omanipulerad så att du som användare vet att allt står rätt till.

Så TLS skyddar inte direkt mot hackning av hemsidan (servern), men det originella innehållet kan fortfarande modifieras under överföring till en användare, vilket är ungefär lika farligt för användaren som att besöka en hackad hemsida. Hemsidan ändras lokalt för användaren, men inte på servern.

Därför är det viktigt att använda TLS på alla hemsidor, vare sig om de bara visar öppettider eller om de har inloggningssidor där lösenord skrivs in.


https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https
https://www.globalsign.com/en/blog/what-is-a-man-in-the-middle-attack

 

[Lobelia]

Du har rätt, TLS skyddar datan som överförs, jag kanske var otydlig med vad jag menade.

Om en hemsida inte använder sig av TLS så är det möjligt för någon att lyssna på datatrafiken och modifiera datan som sänds mellan servern och användaren (känt som MITM [man in the middle] attack). Datan som skickas till användaren när hen besöker en hemsida är oftast HTML, CSS och JavaScript. En hacker kan då t.ex. ersätta vissa HTML element (så som text och länkar) så att det står något helt annat på hemsidan eller göra så att länkar skickar en till fel sidor. Det går också att ändra eller lägga till JavaScript-kod så att den istället blir skadlig för användaren.

Om du t.ex. letar efter öppettider på en okrypterad hemsida så har du ingen aning om tiderna som står faktiskt är de riktiga. Hade det blivit modifierat under överföringen från servern så hade du inte vetat om det. Det är där TLS kommer in, det verifierar att datan är omanipulerad så att du som användare vet att allt står rätt till.

Så TLS skyddar inte direkt mot hackning av hemsidan (servern), men det originella innehållet kan fortfarande modifieras under överföring till en användare, vilket är ungefär lika farligt för användaren som att besöka en hackad hemsida. Hemsidan ändras lokalt för användaren, men inte på servern.

Därför är det viktigt att använda TLS på alla hemsidor, vare sig om de bara visar öppettider eller om de har inloggningssidor där lösenord skrivs in.


https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https
https://www.globalsign.com/en/blog/what-is-a-man-in-the-middle-attack

Rent krasst har du ingen aning om hemsidan är hackade eller inte, med eller utan TLS. Sannolikheten att någon hackar överföringen av hur sidan ser ut på en ridklubbs hemsida är försvinnande liten jämfört med att någon hackar sidan, och den risken är inte särskilt stor om ridklubben (eller någon medlem) inte blivit ovän med någon hacker. Däremot är det betydligt större risk för manipulation om någon kan tjäna pengar på det, och då krävs det att sidan är knuten till en webshop eller så.

Jag säger inte att det är fel att använda TLS, tvärt om det är bra att ha som standard, men jag tycker du drar på för stora växlar med kritiken. Som sagt, finns det ingen känslig data såsom lösenord eller transaktioner att hacka så är nyttan högt begränsad och inget jag skulle lägga stor vikt vid. Många klubbar har helt enkelt inte den typen av trafik att skydda. Teoretisk kan någon givetvis roa sig med att, ändra lektionspriser, öppettider och hästnamn i samband med överföringen men jag tvivlar på att det har hänt.

Jag är allergisk mot att som du gjort här, spridit felaktig information - nästan skräckpropaganda, även om det är gjort i all välmening.

 

[turvallisuus]

Rent krasst har du ingen aning om hemsidan är hackade eller inte, med eller utan TLS. Sannolikheten att någon hackar överföringen av hur sidan ser ut på en ridklubbs hemsida är försvinnande liten jämfört med att någon hackar sidan, och den risken är inte särskilt stor om ridklubben (eller någon medlem) inte blivit ovän med någon hacker. Däremot är det betydligt större risk för manipulation om någon kan tjäna pengar på det, och då krävs det att sidan är knuten till en webshop eller så.

Jag säger inte att det är fel att använda TLS, tvärt om det är bra att ha som standard, men jag tycker du drar på för stora växlar med kritiken. Som sagt, finns det ingen känslig data såsom lösenord eller transaktioner att hacka så är nyttan högt begränsad och inget jag skulle lägga stor vikt vid. Många klubbar har helt enkelt inte den typen av trafik att skydda. Teoretisk kan någon givetvis roa sig med att, ändra lektionspriser, öppettider och hästnamn i samband med överföringen men jag tvivlar på att det har hänt.

Jag är allergisk mot att som du gjort här, spridit felaktig information - nästan skräckpropaganda, även om det är gjort i all välmening.

Såklart är chansen liten att det faktiskt händer en i praktiken, men varför inte vara på den säkra sidan och köra TLS på allt? Det finns inga nackdelar med att kryptera trafiken.

Och får jag fråga vilken information som är felaktig?

 

[Lobelia]

Såklart är chansen liten att det faktiskt händer en i praktiken, men varför inte vara på den säkra sidan och köra TLS på allt? Det finns inga nackdelar med att kryptera trafiken.

Och får jag fråga vilken information som är felaktig?

Var har jag skrivit att det är fel att slå på TLS? Jag har tvärt om skrivit att det är bra att ha det som standard.

Jag har redan påtalat det du skrivit som är felaktigt och du har bekräftat att jag hade rätt där. Du fortsätter dock att försöka få det att se ut som TLS är ett viktigt skydd, vilket det endast är om man har trafik som behöver skyddas. Det blir tokigt när man som du gjort får det att se ut som att TLS ger ett skydd mot hackande av websidor även när nyttan är marginell.

 

[Andromedae]

Askims fältrittklubb är fel i din lista. Vi har aktiverad TLS. Vår http-adress redirectas till https.

 

[Stereo]

Jag har redan påtalat det du skrivit som är felaktigt och du har bekräftat att jag hade rätt där. Du fortsätter dock att försöka få det att se ut som TLS är ett viktigt skydd, vilket det endast är om man har trafik som behöver skyddas. Det blir tokigt när man som du gjort får det att se ut som att TLS ger ett skydd mot hackande av websidor även när nyttan är marginell.

Jag kan tycka det är viktigt av anledningen att Google nedprioriterar sidor utan TLS, vilket inte står i något motsatsförhållande till vad du skrivit alls men tänkte ändå påpeka det. I övrigt håller jag så klart med om att det inte direkt finns något gigantiskt säkerhetshål med att inte ha TLS för statiska sidor.