Eg er no litt usikker på om eg ville ha satsa på at dette stemmer alle stader. Det kjem vel an på kva slags brannvegg arbeidsgjevar har. Nokon brannveggar kjører "man-in-the-middle-attack" på trafikk og då hjelper det vel lite med HTTPS..... (vel - det sa ein større brannveggleverandør til meg for eit par år sidan - all trafikk var transparent).
Med fare for å bli for teknisk... TLS, som er krypteringsprotokollen i bunn for HTTPS, er laget for å hindre at noen som har tilgang til nettverket undervegs kan lese trafikken og sende den videre uten at det er tydelig for brukeren. Den viktigste mekanismen for å hindre det, er sertifikatet som er knyttet til den krypterte nettsida (og som du i de fleste nettlesere kan finne ved å trykke på den grønne hengelåsen). Hos oss skal dette være et utstedt av Comodo til *.norbrygg.no, og laget etter en kontroll av hvem som har tilgang til nettsida.
For at trafikken skal kunne leses av undervegs, et «man in the middle»-angrep, må PCen som du bruker på et eller annet vis overse de advarslene som et slik angrep vanligvis gir. Det normale er at du må installere et såkalt rotsertifikat, som godkjenner at brannveggen kan dekryptere trafikken. I bedrifter som bruker denne typen brannvegger, vil det normalt være gjort av IT-avdelingen.
De fleste brannvegger bruker ikke et slik opplegg, og har ikke tilgang til kryptert trafikk. At det finnes noen situasjoner der sikkerhetsmodellene i HTTPS ikke fungerer optimalt, er uansett ingen grunn til å ikke sikre forumet med de mekanismene som etterhvert anses som helt standard.
Og har ikkje arbeidsgjevar slik brannmur så vil arbeidsgjevar uansett kunne ha logging av kva tenar det går aktivitet mot frå kva arbeidsstasjon så både volum og tid vil dermed kunne overvåkast. Og det som vert skrive på Norbrygg er vel uansett i 99,9% slikt som tåler dagens lys - så jamvel om det ikkje er HTTPS (som eventuelt berre ville skjula KVA som går av trafikk og for den saks skuld evt. passord om ein ikkje har gjort dette ein gong for alle og klikka av at ein skal ha autoinnlogging (og då går eg ut frå at det ikkje er passord i klartekst som ligg der men ein eller annan cookie som sørger for identifikasjon) så brukar ein altså arbeidstid på "ikkje arbeidsrelaterte ting".
Jeg er helt sikker på at
min arbeidsgiver slipper gjennom kryptert trafikk til sider som ellers er stoppet. Jeg vet også at de ikke har noen IT-avdeling som er i stand til, eller ønsker, å gjøre den typen overvåkning som du beskriver. Da hadde de ganske sikkert klart å justere innholdsfilteret slik de har lovt at de skal gjøre.
Og jeg er ikke den eneste å min arbeidsplass som kikker innom nettaviser eller privat e-post i løpet av arbeidsdagen.
At informasjonen du legger ut på forumet normalt er offentlig, er uansett ikke noen grunn til å ikke sørge for at det er et normalt sikkerhetsnivå på oppsettet.
I tillegg vil vel dei fleste som brukar forumet i opne wifi-sonar kanskje ha "autoinnlogging" slått på - det er vel liten grunn til å ikkje ha det på ein bærbar personleg pc. No har ikkje eg sjekka kva cookie som forumet brukar for slik autoidentifisering - men eg går ut frå at det ikkje er brukarnavn og passord i klartekst men anna identifiseringsmekanisme - f.eks. ein GUID eller noko slikt.
Det finnes flere angrep som en kryptert forbindelse beskytter mot, men det er ikke noen enkel fiks for alt. Et eksempel kan være å bruke avlyttet informasjon til å logge deg av, og fange opp passordet når du logger inn igjen. Husk også at forumet er basert på veldig standard programvare, som det fint kan finnes automatiserte angrep på, uten at Norbrygg eller våre brukere, som sådan, er noe utpekt mål.
Det er heller ikke bestandig noen avlytter trafikken din, men det er altså ikke noen grunn til å ikke oppdatere forumet og gjøre det mulig å bruke uten å risikere at passord eller annen informasjon kommer på avvege.
Dette er ikkje bankverksemd - det er eit medlemsforum. Https vil stort sett berre føre til meir belastning på tenaren då trafikken må krypterast.
Nei, vi er ikke bankvirksomhet. Hadde vi vært det, så hadde vi måttet ha sikkerhetstiltak som langt overgår noe av det vi har, kommer til å få eller har mulighet til å gjennomføre. Derimot er vi et middels stort nettforum, med mange brukere som bør forvente at vi har helt grunnleggende tiltak på plass for å hindre at personopplysningene deres kommer på avvege.
Kryptering er ikke noen tung oppgave for en server, og belastninga kryptering av trafikken medfører er helt neglisjerbar. Forumet er en middels tung webapplikasjon, med mye databasebruk, og kryptering av trafikken er en dråpe i havet. Se f.eks.
http://istlsfastyet.com/ for mer informasjon.
