För drygt ett dygn sedan släppte Eric Butler sin Firefox-addon Firesheep och igår natt satt jag själv och provade den i min laptop. Jag satte upp laptopen mot min egen trådlösa accesspunkt, startade Firesheep och loggade sedan in på Facebook från min andra laptop. Firesheep gav mig genast en länk med mitt namn och gav mig en session där jag kunde ”ta över” Facebook-sessionen.
Ungefär där var jag nöjd, ett snyggt demo av ett välkänt problem. Dvs, problemet har varit välkänt för alla som vet något om IT-säkerhet i allmänhet och web i synnerhet. Det här är inte nytt, jag kunde fått fram samma info via en mängd andra sniffers som funnits i åratal.
Det nya är gränssnittet som är tämligen enkelt att få igång och på ett bra sätt visualiserar problemet även för någon som inte vet hur TCP/IP fungerar. Syftet med den här appen är alltså att visa att det finns säkerhetsproblem i många av de sajter vi besöker dagligen. Läs gärna det sista igen. Säkerhetsproblemet ligger hos sajten.
Visst är det bra om det här uppmärksammas, kanske kan man få några av sajterna att ta tag i problemet. Tyvärr tycks det inte vara en vinkel som passar svensk press, här är det istället vanlig sensationshysteri som gäller. Expressen har tex en ”Så undviker du att bli drabbad” med ”goda råd” som möjligen är välmenta men i stort sett fullständigt felaktiga.
Den första punkten är delvis korrekt, men bara delvis eftersom grundproblemet fortfarande ligger hos sajten och det är fortfarande tekniskt möjligt (men krångligare) att avlyssna din trafik även om du kör via sladd. Den andra punkten är däremot helt missledande, säkerhetsproblemet har absolut ingen koppling till Firefox. Nil, zip, nada.
Den som skrivit den där punkten borde överväga en ny karriär. Dörrvakt på centralens herrtoalett kanske skulle passa kompetensnivån?
Så vad är anledningen till att de här sajterna inte löser problemet? Svaret är åtminstone delvis enkelt. Pengar. Kostnad.
Att kryptera data i en webserver drar extra prestanda. Det finns flera faktorer som påverkar, men låt oss grovt uppskatta den extra lasten till 5%. En webserver som klarar 1000 samtidiga användare med okrypterad trafik kan då bara hantera950 användare med krypterad trafik. Jag har ingen aning om hur många servrar Facebook har igång, men för ett par år sedan talades det om mer än 10000. Med tanke på hur många användare som tillkommit sedan dess rör det sig idag om nästintill ofattbart många maskiner.
Om man då ska erbjuda all trafik krypterad behöver man ännu fler maskiner. Hårdvarukostnad är en sak, sedan tillkommer löpande driftskostnader. Tusentals nya maskiner ska sättas i drift och hållas med el och kyla.
Om jag hade varit journalist, så hade jag valt att fråga några av de här företagen varför de inte skyddar min information. Men jag antar att sånt inte säljer tidningar lika bra som hysteri.