- Dårlig sikkerhet i norske nettbutikker
Sikkerhetsekspert Yngve Pettersen i Opera mener norske nettbutikker ikke holder mål.
Sikkerhetsekspert Yngve Pettersen i Opera Software har sjekket sikkerheten i 32 norske og 12 britiske nettbutikker.
Konklusjonen er at norske nettbutikker er for dårlige på sikkerhet, skriver han i en bloggpost.
Det er spesielt fullstendig kryptering i forbindelse med kunderegistrering og utsjekking norske nettbutikker er dårlige på.
Alt bør være kryptert
- Min personlige mening er at alle aktivitetene i nettbutikken bør gjøres over en kryptert forbindelse, skriver Pettersen.
Ifølge undersøkelsen hans er det nesten ingen nettbutikker som tilbyr komplett kryptering.
Det er spesielt viktig at registrering, innlogging, levering og betaling gjøres over en kryptert forbindelse, for å hindre at sensitiv informasjon kommer på avveie.
- I løpet av januar har jeg gjort en enkel undersøkelse av 34 norske og 12 britiske nettbutikker, skriver Pettersen.
Åtte punkter for trygg netthandel
Pettersen har tatt utgangspunkt i åtte punkter for aktivitet i nettbutikk:
- Undersøke vareutvalget
- Velge varer man vil kjøpe
- Sjekke hva som er i handlekurven
- Registrere seg som kunde
- Logge inn dersom man allerede er kunde
- Gå til kassen
- Oppgi hvordan varene skal leveres
- Betale for varene
Hver nettbutikk ble sjekket for hvert av de åtte punktene, og om nettsidene og alle relaterte ressurser i nettbutikken var krypterte.
Dersom enkelte ressurser, som for eksempel bilder, blir lastet ned via en ukryptert forbindelse, vil hele nettsiden kategorisert som usikker (eventuelt markert i nettleser som "ukryptert").
Årsaken er at det kreves en god del undersøkelser fra kundens side om denne vil finne ut av hvorfor nettbutikken er markert som usikker.
Dette er noe de aller færreste kundene har kunnskap om.
Skuffende resultat
Pettersen oppgir at han ble skuffet over resultatet.
Bare to av de norske nettbutikkene som ble undersøkt krypterte alle aktiviteter. Ingen av de britiske nettbutikkene gjorde dette.
Over halvparten av de norske nettbutikkene krypterte ikke aktiviteter i det hele tatt. Her var de britiske "bedre", og bare 16 prosent av de britiske nettbutikkene krypterte ikke forbindelsen i det hele tatt.
Bare en av fire norske nettbutikker krypterte registrering, innlogging og utsjekking fra kassen. I underkant av syv av ti britiske nettbutikker gjorde det samme.
Pettersen legger også til at dersom man regner med kryptering på visning av handlevogn, blir tallene dårligere, og omtrent en av ti krypterer visning av handlevogn.
- I én av de norske og én av de britiske nettbutikkene var registrering, innlogging og utsjekking av varer riktignok kryptert, men inkluderte ukrypterte ressurser som åpner for at en ondsinnet person kan ta full kontroll av den krypterte siden, skriver Pettersen.
Han legger til at ytterligere to norske nettbutikker blandet inn mindre farlig ukryptert innhold.
- I noen tilfeller åpnet dette sårbarheter i den krypterte siden, skriver Pettersen.
Slik beskytter du deg
Det første steget er å lære seg å gjenkjenne et sikkert nettsted.
- Gjør deg kjent med hvordan nettleseren indikerer at en side er kryptert, anbefaler Pettersen.
Indikasjonen varierer litt mellom nettlesere, men er oftest representert med et lite bilde av en hengelås. Opera og Internet Explorer gjør det på denne måten.
Noen nettlesere viser i tillegg en en spesiell, grønn variant av denne hengelåsen. Før du logger inn i nettbutikken bør du derfor sjekke denne hengelåsen.
Finnes det ingen slik hengelås bør du avbryte prosessen, og gjerne sende en e-post til nettbutikken slik at de kan ta nødvendige grep, anbefaler Pettersen.
Hele artikkelen kan leses i Pettersens sikkerhetsblogg på Operas nettsider.
