Sikker hjemmeside lyder godt, men det er et begreb, der ikke er helt så ligetil, som det lyder, så her kommer lidt vejledning.
En hjemmesides indhold kan sendes over nettet i klar tekst eller krypteret. Det samme gælder, hvis du skriver noget på hjemmesiden: Et indlæg, et login eller lignende. Du kan se om en kommunikationen til en hjemmeside er krypteret ud fra adressen: https:// er krypteret, http:// er ikke. Nu skjules denne del af adressen ofte i browseren, men så vil du til venstre for adressen kunne se en lille hængelås, der markerer at der er tale om krypteret kommunikation. Alternativt vil der være et andet symbol, fx et lille i i en cirkel. Du kan klikke på symbolet og få flere oplysninger, blandt andet hvem der har udstedt certifikatet. Certifikatet kan indeholde oplysninger om firmanavn og land, men det er mere og mere almindeligt med certifikater, der blot er knyttet til domænenavnet, fx certifikater fra Let’s Encrypt, der er en gratis tjeneste, der sikrer de basale forudsætninger for at kryptere kommunikationen. Vi bruger den selv på de sider, der ligger på servere vi har fuld kontrol over, men kan desværre ikke bruge den på sider, der ligger hos de store webhoteller som fx one.com og unoeuro.
Hængelåsen bliver mere og mere almindelig, ikke mindst fordi Google rangerer en hjemmeside med krypteret kommunikation højere i søgeresultaterne. Men det vedrører altså kun kommunikationen til og fra hjemmesiden. Hvis det er en hjemmeside, hvor du skal indtaste noget, er det en rigtig god idé at kommunikationen er krypteret, så ingen kan opsnuse dine login oplysninger ved at lytte på kommunikationen. Er det en side, hvor du kun læser noget, er det en noget mere behersket sikkerhed, du opnår ved krypteret kommunikation.
Hængelåsen har sammenhæng med et server-certifikat, som garanterer at den hjemmeside, du er gået ind på hedder det, den hedder og at ejeren kan kontrollere dens indhold. Men hvis ejeren har lyst til at sende dig en virus eller hjemmesiden er blevet hacket, så du får en “gave” (fx virus eller 3. parts cookie) du helst ville have været fri for, så er der ingen sikkerhed i hængelåsen. Du kan bruge browserens private/inkognito funktion eller slå muligheden for 3. parts cookies fra i din browser (se artikel fra sidste uge) og virus burde dit antivirusprogram opdage og blokere. Så hvis dit antivirusprogram brokker sig over en hjemmeside, så skal du tage advarslen alvorligt.
Nogle trusler ligger på grænsen, så antivirus programmet vil ikke advare mod dem. Fx phishing hjemmesider, der kun er ude på at narre dig til at afgive personlige oplysninger. En som jeg ser ret hyppigt er “Du er besøgende nummer 1.000.000 og har vundet en rabatkupon”. Dem får du ikke noget godt ud af, at indtaste oplysninger på.
Du kan selv kontrollere en hjemmeside som du er i tvivl om på utallige blacklists. Du kan få et overblik her: blacklistalert.org. eller du kan bruge en online site- eller webadvisor, fx McAffee’s Siteadvisor (ikke længere beregnet til online indtastning – du må selv indsætte domænenavnet som en parameter i adresselinjen. Udskift okedb.dk i mit viste eksempel) eller fx f-secure’s riddler.io database.
Desværre bliver der mere og mere “arbejdsdeling” på internettets hjemmesider, så når du tror, at du går ind på en hjemmeside fra fx danskebank eller dr.dk og du derfor kun får indhold fra dem, så er det langt fra tilfældet: De henter fonte fra Google, kliktællere, billeder, programstumper og meget mere fra mange andre “underleverandører”. Forhåbentligt nogle de selv har valgt og givet lov til det. Du kan få et overblik over dette virvar, hvis du bruger Firefox og installerer udvidelsen Lightbeam.