Startsidan pÄ Uppsala universitets webbplats krÀver ingen sÀker anslutning av sina besökare. Det menar it-sÀkerhetsexperten Karl Emil Nikka, som har gjort en jÀmförelse mellan 35 svenska högskolors och universitets hemsidor. Uppsala universitet Àr i den jÀmförelsen ett av de sÀmsta högre lÀrosÀtena i landet.
LÀs mer: SÄ ser du om en webbplats Àr sÀker
Karl Emil Nikka lyfter fram skillnaden mellan de lÀrosÀten som pÄ sina hemsidor anvÀnder HTTP-anslutningar och de som krÀver HTTPS-anslutningar av sina anvÀndare. De snarlika förkortningarna vÀrderas ur it-sÀkerhetssynpunkt helt olika. HTTP (Hypertext transfer protocol) ger en osÀker anslutning medan HTTPS (Hypertext transfer protocol secure) ger en sÀker anslutning.
Efter att Karl Emil Nikka för ett Är sedan gjorde en liknande jÀmförelse har Ätta av de lÀrosÀten som tidigare inte krÀvde sÀkra anslutningar nu börjat göra det. Men inte Uppsala universitet.
â De har sĂ€kra anslutningar pĂ„ de delar av hemsidan dĂ€r studenter och medarbetare ska logga in. Det Ă€r bra, men det rĂ€cker inte, sĂ€ger Karl Emil Nikka.
Enligt honom Àr nÀmligen skadan redan skedd genom att universitetets startsida har en HTTP-anslutning.
â Om du Ă€r pĂ„ en osĂ€ker startsida och klickar pĂ„ en lĂ€nk för att logga in kan det hĂ€nda att du kommer vidare till en falsk inloggningssida, sĂ€ger Karl Emil Nikka.
Han beskriver hur bedragare genom en falsk sida â som Ă€r en kopia av den riktiga sidan â kan komma Ă„t anvĂ€ndares inloggningsuppgifter. De kan enligt honom sedan anvĂ€ndas för att kapa mejladresser och i förlĂ€ngningen exempelvis sociala medier-konton:
â Om kapare kommer över e-postkonton kan de sedan Ă„terstĂ€lla lösenorden till alla möjliga andra konton.
Karl Emil Nikka framhÄller att den bristande sÀkerheten innebÀr att it-bedragare kan rikta attacker mot enstaka anvÀndare, men inte mot samtliga besökare pÄ webbplatsen. FrÄn Uppsala universitets hÄll tvivlar man emellertid pÄ hela det scenario han beskriver.
â Jag tror inte att det kan hĂ€nda â det lĂ„ter inte sannolikt. För att skapa en falsk inloggningssida mĂ„ste man vara inloggad som redaktör i vĂ„rt system sĂ€ger Regina Ledung, förvaltningskoordinator vid universitetets it-avdelning.
Varför har ni inte en sÀker anslutning till hela hemsidan?
â Vi har inte haft tid att ordna det Ă€n. Men det Ă€r pĂ„ gĂ„ng och ska ske senare i Ă„r.
Varför har det inte skett tidigare?
â Det har varit mycket förberedelsearbete. Att vi inte har hunnit Ă€n Ă€r för att vi vill göra det rĂ€tt.
NÀr Karl Emil Nikka fÄr höra att universitetet inte anser att anvÀndarna av deras hemsida riskerar exempelvis kontokapning upprepar han sin varning:
â Deras webbplats Ă€r inte sĂ€ker. De borde skĂ€mmas lite.