Om man driver en en kommersiell sajt vill man att besökaren ska känna sig trygg. Man vill att besökaren ska hala upp kreditkortet och lämna ifrån sig sina privata uppgifter utan att fundera på om de riskerar att komma på villovägar.
Ett sätt att ge intryck av en säker sajt är att köpa en certifiering av sajten, en sorts garanti för att sajten är skyddad mot hackers. Det finns flera företag som säljer såna tjänster, bland annat McAfee Hacker Safe. Mot en avgift får sajten visa en logga som ska försäkra besökaren om att sajten är säker.
Verkligheten visar tyvärr att det, åtminstone delvis, handlar om en falsk säkerhet. Russ McRee har testat några sajter försedda med HackerSafe-loggan och konstaterat att de inte är så säkra. De testade sajterna är öppna för olika former av cross site scripting. Trots det tillåts de använda McAfee-symbolen för en säker sajt. Titta på videon där han demonstrerar flera script injections, alla ofarliga i rent demonstrationssyfte men en illvillig hacker skulle ha kunnat göra något elakt.
Själv använder jag på den här bloggen Scanless PCI. Det är inte ett helt seriöst alternativ, men att döma av hur mycket de ”riktiga” certifieringarna verkar värda så fyller det samma funktion. Dvs, ingen alls…