Cookies och kryptering
Swecan, som de flesta andra webbforum, använder cookies för att hålla koll på inloggningar. En cookie med ett hemligt innehåll lagras på användarens dator och skickas sedan med varje HTTP-förfrågan till swecan.org som bevis på att användaren är inloggad.
Om man loggar in via HTTPS och sedan använder HTTPS hela tiden så är cookien, precis som allt annat som skickas mellan användaren och Swecan, krypterad. Det är utmärkt. Men om man någon gång råkar använda Swecan via HTTP istället för HTTPS, t.ex. genom att klicka på en länk någonstans, så kommer cookien, precis som allt annat, att skickas okrypterad. Vem som helst som avlyssnar trafiken på en router mellan användaren och Swecan kan då se cookien och därmed kapa användarens inloggningssession – vilket innebär att man kan läsa användarens privata meddelanden, skicka privata meddelanden och skriva inlägg från den användaren och ändra användarens inställningar. Allt som en eventuell avlyssnare behöver göra är lägga upp en länk till https://swecan.org istället för https://swecan.org någonstans och försöka få användaren att klicka på den – då kommer användarens webbläsare att skicka cookien helt okrypterad och all säkerhet man tror att man har fått genom att använda HTTPS är borta.
Det finns ett relativt enkelt sätt att hindra sådana attacker. En cookie kan ställas in att bara skickas över krypterade anslutningar. Det skulle innebära att man, om man har loggat in via HTTPS, helt enkelt inte är inloggad om man ansluter sig via HTTP istället. Cookien skickas aldrig okrypterad, och ingen som avlyssnar trafiken kan kapa inloggningen. Andra forum, t.ex. Flashback, har det inställt så. Det går att se om man tittar på sina cookies, t.ex. med Preferences / Privacy / Show cookies i Firefox. Om man markerar en cookie från flashback.org så står det “Send for: Encrypted connections only”, medan det för cookies från swecan.org står “Send for: Any type of connection”.
Vore det möjligt att konfigurera Swecans forummjukvara så att cookies som har satts via HTTPS bara skickas via HTTPS, precis som på Flashback?
Log in to reply.