Firesheep, Facebook, Twitter och https

I höstas väckte Firefox-pluginet Firesheep en hel del uppmärksamhet, då det visade hur enkelt det var att ta över någons inloggning på en sajt. 

Med pluginet kan man, i öpppna trådlösa nätverk, lyssna efter cookies med användarinformation som kunde användas för att t.ex. logga in på någon annans Facebook-konto.

Firesheep blev en väckarklocka för många större sajter hur viktigt det är att se till att sina användare kan surfa säkert. Sedan dess har flera gått över till https som krypterar kommunikationen och förhindrar att sådan avlyssning kan ske.

I slutet av januari gav Facebook användarna möjligheten att surfa via https. Som användare måste du gå in under inställningar och kryssa för att du vill använda https:

Och förra veckan gjorde Twitter samma sak. Även här måste du ange i dina inställningar att du vill använda https:

För att, som sajtägare, ha https på sin sajt krävs att man köper och installerar ett SSL-certifikat på servern, något som många tror är krångligt/dyrt/långsamt etc. HttpWatch slår hål på ett antal av sådana påståenden, när de skriver om 7 myter om https (läs deras artikel för mer info om varje myt):

  1. HTTPS har ingen cachning
  2. SSL-certifikat är dyra
  3. Varje HTTPS-sajt behöver en egen publik IP-adress
  4. Om man byter server behöver man köpa ett nytt SSL-certifikat
  5. HTTPS är för långsamt
  6. Cookies och query-strängar är skyddade med HTTPS
  7. Min sajt behöver bara HTTPS på inloggningssidan

Så har du en publik sajt med inloggning, bör du definitivt överväga https för en säkrare webb för alla.

comments powered by Disqus