web analytics
Skip to content →

Firesheep, kryptering og mine rulesets for HTTPS Everywhere

Last updated on 24. mars 2011

Merk: Denne teksten er mer enn ett år gammel. Jeg kan ikke garantere at alt som står her fremdeles er riktig eller det jeg mener. Les likevel og skriv en kommentar om du lurer på noe! English: Old post, might be outdated.

Oppdatering: Rulesetene jeg har laget og linket til under er nå inkludert i utvikler/test-versjonene av HTTPS Everywhere. Du kan installere den nyeste av disse ved å klikke her.

I det siste har det vært mye snakk om Firesheep, en ekstremt enkel måte å logge seg inn på andre folk sine kontoer hos blant annet Facebook. At det er lett å lytte til informasjon sendt over nett, og så bruke det til hva man vil, som for eksempel å logge seg inn på andres kontoer, er ikke noe nytt. Men Firesheep gjør det så enkelt for hvem som helst å gjøre dette at det er lettere å se faren.

En måte å beskytte seg mot dette på er å bruke krypterte nettsider. Med kryptering blir det, om ikke umulig, så ihvertfall mye vanskeligere for tredjeparter å få tak i informasjonen som sendes fram og tilbake mellom deg og nettsiden. Du kan se om en side er kryptert ved å se etter om det står https:// istedenfor den vanlige http:// i starten av adressen (s for “secure”). De fleste nettlesere har også andre innebygde måter å vise at en side er kryptert på, som for eksempel en hengelås i adressefeltet, og/eller at hele adressefeltet farges gult.

Det er viktig å huske på at om siden du går inn på med kryptering bruker Google AdSense, Google Analytics, liker-knappen til Facebook eller annen kode som sender informasjon til andre, så vil fremdeles Google/Facebook/whatever få den samme infoen som før*. Det er utenforstående som ikke har kode inne på sida du går inn på og som prøver å lytte til hvilken info som sendes mellom deg og siden som blir stoppet. Det er også veldig viktig å huske at hvem som helst kan kryptere sidene sine, så at en side er kryptert betyr ikke at det er trygt å gi dem personlig informasjon. Siden mange banker og nettbutikker krypterer sidene sine vil også mange som prøver å lure folk til å tro at de er en bank eller nettbutikk (phishing) gjøre det samme.

HTTPS EverywhereHTTPS Everywhere er en Firefox-utvidelse fra den fantastiske organisasjonen EFF som automatisk videresender deg fra den ukrypterte versjonen av en nettside til den krypterte. Dette gjelder kun for de nettsidene HTTPS Everywhere vet at fungerer med https. Utvidelsen kommer med en innebygd liste over noen slike sider, som for eksempel Google, Facebook og Identi.ca. Jeg har laget noen rulesets for sider som ikke er på denne listen. Jeg kan ikke garantere at dette ikke vil knekke noen deler av disse sidene, fordi det ofte er slik at nettsider bare har kryptert deler av sidene. For eksempel kan du bruke https på det meste av finn.no, men ikke på katalog.finn.no og noen flere områder.

Hvis du likevel vil ta sjansen og hjelpe meg å teste om disse rulesetene funker som de skal, så gjør du følgende:

Les også:  Bergensbanen sekund for sekund

Installer HTTPS Everywhere og start Firefox på nytt. Høyreklikk på linkene under og lagre .xml-filene i mappa HTTPSEverywhereUserRules i Firefox-profil-mappa di (I Linux ligger den i ~/.mozilla/firefox. I Windows Vista/7 finner du mappen ved å lime inn %APPDATA%\Mozilla\Firefox i Start-menyen sin søkeboks). Restart Firefox igjen.

Hvis du lager dine egne rulesets så legg link til dem i kommentarfeltet så vi kan teste dem og. Etter å ha testa dem grundig kan vi sende dem inn til EFF så de blir med som standard i senere versjoner av utvidelsen. :)

Bonus-info: Det er ikke bare nettsider som kan krypteres, det kan du også gjøre med egen harddisk, e-post, IM-samtaler, osv. Dette vil jeg sterkt anbefale. Gjør et søk etter “encrypt e-mail”, “encrypt IM”, osv.

Så, hvis https er så flott, hvorfor bruker ikke jeg det her på forteller.net, og hvordan får du satt det opp på din nettside? Svaret er enkelt: Kryptering av nettsider krever at man kjøper et sertifikat, noe som er veldig dyrt. Derfor vil dette sjelden være noe enkeltpersoner bryr seg med. Om du likevel har lyst til å ha dette på din nettside, eller kanskje du har en bedrift som er interessert, så foreslår jeg at du gjør et søk etter “buy ssl certificate”.

NB: HTTPS Everywhere vil gjøre at Google.com ikke linker til Google bildesøk, men du kan fremdeles gå direkte inn på http://images.google.com/. Utvidelsen gjør også at chat-funksjonen på Facebook.com slutter å fungere. Om dette er viktig for deg kan du enten bruke chaten i en klient, eller slå av https på Facebook via HTTPS Everywhere sine innstillinger (selvsagt ikke anbefalt, men bedre enn å slå av hele HTTPS Everywhere). Facebook Chat fungerer nå med HTTPS. Du kan til og med slå på HTTPS i Facebookinnstillingene dine (under Sikkerhetsinnstillinger).

*Oppdatering: Du kan stoppe henholdsvis Google og Facebook fra å få informasjon om deg fra andre nettsider enn sine egne med OptimizeGoogle og Facebook Blocker eller disse filtrene til AdBlock Plus.

 

Å dele er å bry seg


Knappene pinger ikke tjenestene før du klikker på dem.

Published in Internett NB Teknologi Tips & Triks

26 Comments

  1. […] vote on links that you like or dislike and help decide what's popular, or submit your own! 1234Beskytt deg mot Firesheep o.l. med norske rulesets for HTTPS Everywhere + lag dine egne og del dem (blogg.forteller.net)submitted 5 […]

  2. Cato Auestad

    Jeg har en enklere løsning på problemet som fungerer lett uansett om maskinen er på et åpent eller lukket nettverk: SSH tunnell

    ssh -f bruker@egen.ekstern-server.com -L 80:egen.ekstern-server.com:80, så router jeg all trafikken for Firefox/Epiphany gjennom serveren. Gjør det samme med e-post osv. Satt port 80 i eksempelet men kan være hva som helst.

  3. På hvilken måte er det enklere, sier du? :)

    Klart det høres veldig kjekt ut når det først er satt opp, men det krever jo mye kunnskap, for ikke å snakke om en egen server..

  4. Cato Auestad

    Kommer vell ann på personen som ser ;) Trenger ikke nødvendigvis å være en server. Kan være en vanlig stasjonær maskin man har stående hjemme med en åpen port i brannmuren. Evnt. en VPS. Kommer ann på hvor villig man er til å gi for å få maksimum sikkerhet.

    Hvis du først har en maskin med som kjører SSH daemon så er den kommandoen ovenfor alt som trengs. Deretter er det bare å endre proxy til SOCK i Firefox (etc.) til localhost:porten_du_valgte. Hvis du har en nogelunde god linje (Lyse ftw!) så vil du ikke merke stort på hastigheten.

  5. Takkar og bukkar for innsikt. Google nyttar eg støtt kryptert, men eg visste t.d. ikkje at Identi.ca stør https. :)

  6. btw: OpenID-innlogginga fungerte dårleg for meg. Opera 10.63 på Ubuntu 10.04 x64. Skjedde ingenting etter å ha skrive inn detaljane. Disqus har alltid vore trøblut for meg…

  7. Ugh, kjipt! Men du klarte å bruke OpenID til slutt, ser det ut til? Jeg skal si fra om det til Disqus, noe mer info jeg kan gi dem? Hva skjer når du prøver, hvordan klarte du til slutt å bruke OpenID?

  8. Guest

    (Open)VPN kan også være et alternativ til ssh, så slipper du å sette opp porter/proxy/socks etc for hvert program du skal bruke…

  9. Guest

    (Open)VPN kan også være et alternativ til ssh, så slipper du å sette opp porter/proxy/socks etc for hvert program du skal bruke…

  10. […] month ago by forteller4 commentssharecancelloading…25234Beskytt deg mot Firesheep o.l. med norske rulesets for HTTPS Everywhere + lag dine egne og del dem (blogg.forteller.net)submitted 1 […]

  11. Jeg har HTTPS på min nettside og jeg har ikke betalt noe. Det krever litt mer jobb for brukeren av nettsida di enn vanlig, men de brukerne som bryr seg om å bruke HTTPS på andre steder enn nettbutikker har både vilje og kunnskapen til å gjøre det lille ekstra uansett. Jeg har en liten artikkel om det på nettsida mi, her: http://alexanderschroeder.net/tls-support

  12. Jeg har HTTPS på min nettside og jeg har ikke betalt noe. Det krever litt mer jobb for brukeren av nettsida di enn vanlig, men de brukerne som bryr seg om å bruke HTTPS på andre steder enn nettbutikker har både vilje og kunnskapen til å gjøre det lille ekstra uansett. Jeg har en liten artikkel om det på nettsida mi, her: http://alexanderschroeder.net/tls-support

  13. Takk for kommentaren og linken! Dette var interessant! Når du nevner det, så syns jeg å huske at jeg har hørt om det med gratis SSL-sertifikater tidligere. Og det du sier om at sikkerhet og autentisering burde være separat er jeg veldig enig i! Dette er jo noe som bør jobbes med framover! Skulle egentlig forundre meg om ingen har starta på noe slikt allerede.

    Vet du om det er flere providers av gratis sertifikater enn CACert?

  14. Anon
  15. Anon

       
       

       

       

  16. Oaaoa

    Du kan lage en såkalt self-signed nøkkel. Første gangen man lagrer den må man godkjenne ved å trykke lagre på en dialog. Deretter vil den huske og gi deg melding om noe endres. Trafikken vil være kryptert. 

  17. Jeg har endelig funnet løsningen på HTTPS-problemet. Et firma som gir ut gratis sertifikater OG er gyldige out-of-the-box i alle moderne nettlesere. Prøv gjerne igjen å besøke nettsiden min nå: https://alexanderschroeder.net/ — det skal være smooth sailing. (^_^) Hvis du er interessert (og det burde du jo være, jeg f.eks. ville vært veldig glad om jeg kunne besøkt nettsida di med kryptering) så er det bare å kikke på https://www.startssl.com/ !

  18.  Virkelig? Det ser jo ut til å funke bra på bloggen din, men det høres jo for godt ut til å være sant! Jeg ser på startssl.com at den gratis utgaven har “1 year validity”. Betyr det at man må kjøpe etter ett år, eller bare at man må reaktivere det på en måte?

  19.  “1 Year Validity” betyr at sertifikatet er gyldig i ett år før det må fornyes. Det er en veldig vanlig gyldighetsperiode, selv på en profesjonell side som Twitter: http://img560.imageshack.us/img560/7044/twitterssl.png

    Med mindre StartSSL endrer policy, så er det gratis å fornye hvert år. I motsetning til alle andre firmaer som driver med sånt, så tar de kun betalt for ting som faktisk koster dem noe. Ønsker du f.eks. et sertifikat som er mer troverdig (inneholder identitetsinformasjon) tar de $59.90 for å verifisere identiteten din… men de trenger jo bare å gjøre det bare en gang, og selve sertifikatene (inklusive fornyelser av disse) koster fremdeles $0 hver gang, hvis jeg har forstått dem rett.

    Skulle jeg en gang ha litt ekstra penger til overs, så kanskje jeg skulle gidde å faktisk benytte meg av den tjenesten. Da får du også samtidig tilgang til “wildcard” sertifikater (altså *.domene.tld) — gratis-sertifikatet gir deg bare toppdomenet og ett subdomene (som for deg f.eks. kan være “forteller.net” og “blogg.forteller.net”, men altså ikke flere, om du skulle ha noen flere.)

  20. Nei, der tok jeg feil. De tar $ 59.90 for å verifisere deg, og den verifikasjonen er kun gyldig i 350 dager. Du kan snike deg til nesten 3 år med verifisert SSL likevel, da, i det du kan først bruke sertifikatet i 349 dager, og så fornye det rett før de 350 dagene har løpt ut, noe som gir deg 2 år + 349 dager før man må fornye verifiseringen. Regner du på det, ser du at du altså ikke betaler mer enn ca $ 20 per år for et verifisert SSL sertifikat. Uansett hvordan man ser på det, så er det noe dugelig rimelig!

    Uansett, så tror jeg jeg antakeligvis kommer til å holde meg til gratisversjonen. Som jeg nevnte tidligere, så er jeg kun interessert i krypteringsbiten av SSL, ikke autentiseringsbiten.

  21.  Så flott. Dette skal jeg absolutt sette opp så snart jeg får tid! Vet du om en og samme person kan registrer mer enn ett sertifikat for å bruke på forskjellige toppnivådomener?

  22.  Ja, så lenge du eier domenet, så kan du registrere så mange du vil på den samme brukerkontoen. Tar du deg bryet med validering, så kan du visstnok få et sertifikat som er gyldig på mange forskjellige addresser samtidig.

Comments are closed.