I går varslet arkivselskapet Documaster at de legger om til kryptert forbindelse på Arkivplan.no, en nettjeneste fra 2003 som de overtok for to år siden.
Det har ikke vært noen uønskede hendelser eller misbruk av tjenesten.
Kunder har derimot reagert på praksisen med å logge seg inn med brukernavn og passord, som blir sendt i klartekst over HTTP-protokollen.
Svært mange kommuner og fylkeskommune benytter nettjenesten for å publisere ajourførte arkivplaner, slik de er lovpålagt å gjøre. Totalt er det snakk om rundt 450 kunder.
– Vi tar sikkerhet på alvor, og vi ønsket å ta hensyn til tilbakemeldinger fra brukere. I tillegg ville vi unngå at brukere fikk advarsler i nettleseren sin og at søk blir nedprioritert i Google, sier daglig leder Anders Johnsen i Documaster til digi.no.
Etter selskapets vurdering er det kun offentlig informasjon som ligger i tjenesten.
Johnsen peker dessuten på at passordet, som i dag sendes i klartekst, er generert av systemet. Følgelig skal det ikke være mulighet for at brukerne har gjenbrukt passord fra andre tjenester.
– Overgangen til HTTPS ble startet for en tid tilbake, men det er en stor mengde brukere på Arkivplan.no. Vi må sikre at en slik utrulling gjøres forsvarlig. Utrullingen starter neste uke og blir etter planen ferdig i løpet av året, opplyser han.
– Meget lav risiko for «sniffing»
Google Chrome begynte som kjent i sommer å advare mot usikre nettsider.
Langt på vei de fleste norske nettsteder har tatt i bruk HTTPS viste en gjennomgang av digi.no den gangen, men det var også noen unntak.
– Hva har brukerne av Arkivplan risikert som følge av at innloggingen har skjedd med brukernavn og passord i klartekst?
– Risikoen er at noen kunne fange opp passordet, logge inn med brukeren, og endre den offentlige informasjonen som lå på arkivplanen til den gitte brukeren. Altså skrive noe «tull» om kommunens arkivplan istedenfor den riktige informasjon.
Men i så fall kunne riktig bruker eller leverandøren ha rettet opp dette igjen, enten med historikk eller sikkerhetskopi, poengterer han.
– Vi mener at det er meget liten sjanse for at noen skulle ha interesse av å «sniffe opp» passordet til denne løsningen, og i og med at både vi og kunden selv kunne enkelt rettet opp informasjonen så mener vi at både risiko og konsekvens er lav, sier Anders Johnsen.
Nå er ikke gyldig sikkerhetsertifikat og støtte for HTTPS noen garanti for at nettsider man besøker er ekte, men det sikrer i det minste at dataoverføringen er kryptert.