Fra og med versjon 56 skal Google Chrome advarer brukerne dersom de står i fare for å gi fra seg passord- eller kredittkortinformasjon til ukrypterte websider. (Bilde: Google, montasje: digi.no)

HTTP

Snart skal Chrome advare mot ikke-kryptert innlogging

Fortsetter kampen mot den ukrypterte weben.

De siste årene, spesielt etter Edward Snowdens avsløringer, har det blitt satt et sterkt søkelys på kryptering av datastrømmer på internett, ikke minst epost og websider. De fleste nettsteder som behandler persondata eller annen fortrolig eller følsom informasjon, overfører dataene via en kryptert forbindelse basert på protokollen HTTPS (Hypertext Transfer Protocol Secure). 

Men fortsatt er det mye som gjenstår. For eksempel finnes det fortsatt mange nettbutikker, også i Norge, som ikke krypterer innlogging eller steget hvor man begynner å registrere adresse og betaling. Ifølge en norsk undersøkelse som digi.no refererte til i februar 2015, var det bare 16 prosent av de norske nettbutikkene som krypterte innlogging til konto. 

Les også: Chrome støtter ikke lenger ukryptert «geolocation»

Nye advarsler

Nå ønsker Google å advare brukerne av Chrome om slike tilfeller. I Chrome 56, som skal gis ut i begynnelsen av januar 2017, skal nettleseren vise en advarsel dersom brukeren besøker ikke-krypterte HTTP-sider med felter for å oppgi passord eller kredittkort. Med HTTP (altså uten «S») sendes alle dataene ukryptert og kan avlyttes av utro tjenere eller andre med tilgang til forbindelsen. 

Google opplyser at erfaring viser at dagens metode, med å vise et hengelåsikon i adressefeltet når forbindelsen er kryptert, ikke fungerer. Brukerne oppfatter ikke at ikonet mangler. Men heller ikke for hyppige advarsler fungerer. Da blir de bare ignorert. 

Så i første omgang vil advarslene altså bare bli vist i forbindelse med passord- og kredittkortfelter. Planen er gradvis å utvide bruken av og synligheten til advarslene, slik at Chrome til slutt vil advare om at alle HTTP-sider er usikre. 

Les mer: – Bare et tidsspørsmål før Google og Mozilla vil kreve sikre websider

Ingen stor utgift

Det har blitt enklere og billigere å etablere HTTPS-støtte på nettsteder ved hjelp av kampanjer og tilbud som Let's Encrypt, men mange nettstedeiere avhenger likevel av hjelp og støtte fra hosting- og systemleverandører. Uansett er det normalt nettstedeierne som må ta initiativet. 

Også digi.no og de andre nettstedene til mediehuset Teknisk Ukeblad Media, skal over på HTTPS. Dette har tatt litt lenger tid enn først beregnet, men det skal skje i løpet av høsten.

Les også: Dårlig sikring i nettbutikkene

Kommentarer (2)

Kommentarer (2)
Til toppen