Kun 1 ud af 30 af de danske webhoteludbydere bruger krypterede overførsler ved upload af data til en hjemmeside. Det betyder, at al information sendes som rent tekst, så uvedkommende i princippet kan lytte med.
Det fremgår af en undersøgelse som sikkerhedsfirmaet Safe2day har foretaget.
»Det er dumt at lade dataene bliver sendt som ren tekst, når der nu findes muligheder, der kan forhindre det,« siger Jan H. Backe fra Safe2day til ComON.
Han begrunder den manglende sikkerhed med, at folk følger standarden, og han peger på, at også programmer som for eksempel Microsofts Frontpage bruger almindelig FTP-overførsel.
Hvis en uvedkommende får lusket sig adgang til overførslen, kan det få alvorlige konsekvenser for brugeren.
»Hvis der sidder en og lytter med, kan vedkommende meget nemt opfange brugernavn og password. Og det kan også lade sig gøre at kidnappe en session og derved i princippet ændre i det, der bliver overført,« siger Jan H. Backe og peger på, at uvedkommende ikke kan se, hvad der bliver overført på en krypteret forbindelse.
Hos udbyderen, DanDomain, der er en af de 29, der ikke bruger krypterede forbindelser, ser man ikke ftp-protokollen som en alvorlig sårbarhed.
»Kryptering tager mange ressourcer på de maskiner, der konstant skal stå og køre det, og det vil også betyde en nedgang i hastigheden for brugerne,« siger direktør i DanDomain, Jesper Aggerholm til ComON.
Han tilføjer dog, at DanDomain bruger krypterede overførsler ved betalingssystemer.
»Vi bruger kryptering ved brug af betalingssystemer, for vi synes, at det er det, vi kan bruge kryptering til noget. I princippet kan der være en, der lytter med, men det er ikke noget, vi ser som et problem,« siger han.
»Desuden er det også meget besværligt, at vi skal have et certifikat, som så skal fornys hele tiden.«
Men disse argumenter kan Jan H. Backe ikke bruge til noget.
»Der er ikke noget certifikat, der skal fornys. Der bliver genereret en nøgle på serveren og hos klienten, og alt hvad der bliver overført er krypteret. Og så meget belaster det altså heller ikke hastigheden,« siger han.
Premium
Det er blevet kaldt ”det største it-nedbrud i historien” og omkostningerne kan nemt løbe op i syv milliarder kroner: Men hvem skal betale for Crowdstrikes fejl?