Det missförstådda hänglåset

Förhoppningsvis vet nästan alla användare nu att det är viktigt med ett hänglås intill adressen i webbläsarens adressfält. Det verkar dock råda ett stort missförstånd kring vad hänglåset egentligen innebär. Risken är att användare lägger för stor tillit till indikatorn. Förr i tiden ackompanjerades hänglåset av texten Säker, vilket lär ha bidragit ytterligare till den rådande, felaktiga uppfattningen om hänglåsets funktion.

Vad innebär hänglåset?

Ett låst hänglås i adressfältet innebär att anslutningen till webbsidan sker över en krypterad anslutning. Översatt till lättbegriplig svenska betyder det att all information som skickas mellan webbläsaren och webbservern görs utan att någon utomstående part kan läsa informationen. Ifall en angripare avlyssnar nätverket kan han eller hon endast se att webbläsaren ansluter till webbsidan samt mängden data som överförs (aldrig innehållet).

Hänglåset innebär också att anslutningen till webbplatsen är autentiserad, vilket i sin tur innebär att webbläsaren kan garantera äktheten på webbsidan. Utan ett hänglås i adressfältet kan en angripare kapa anslutningen och låta en klonad nätfiskevida visas i stället (eller injektera extra innehåll likt vi tidigare rapporterat att vissa flygbolag gör på flygplans-wifi).

Vad innebär inte hänglåset

Notera att allt som står ovan handlar om huruvida anslutningen till webbsidan är säker. Hänglåset garanterar endast anslutningssäkerheten och har inget att göra med hur säkert själva webbsideinnehållet är. Även webbsidor som stöder säkra anslutningar kan sprida skadeprogram (populärt kallat virus) och användas i nätfiskeattacker.

Det amerikanska säkerhetsföretaget Phishlabs har studerat hur stor andel av världens nätfiskesidor som har ett hänglås i adressfältet. Under fjärde kvartalet 2018 låg andelen på 47 %. Det är med denna siffra som bakgrund som det är viktigt att reda ut det rådande missförståndet. När nu hälften av världens nätfiskesidor har ett hänglås i adressfältet måste alla användare veta att hänglåset inte på något vis garanterar säkerheten på webbsideinnehållet.

Andelen nätfiskesidor som har ett hänglås i adressfältet har ökat stadigt de senaste åren. Enligt Phishlabs studie låg andelen på under 10 % fram till början 2017. Därefter ökade andelen i rask takt. Detta beror, enligt vår bedömning, på två saker. För det första har kostnaden för att få ett hänglås till sin webbplats minskat. Numera kan webbplatsägare skaffa certifikatet som krävs för att få ett hänglås utan att betala en enda krona. För det andra har nästan alla populära webbplatser börjat använda säkra anslutningar, vilket innebär att ett saknat hänglås har blivit en tydlig indikation på att något är fel.

Hjälp oss att reda ut missuppfattningen

Känner du någon som troligtvis har en felaktig uppfattning kring hänglåsets funktion? Hjälp oss att sprida kunskapen som reder ut denna missuppfattning genom att dela artikeln eller videoklippet.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.

Transkribering

Jag tror att alla som tittar på den här filmen vet att ni ska leta efter ett hänglås i adressfältet när ni surfar på nätet. Jag har märkt att det råder stor förvirring kring vad hänglåset egentligen innebär. Fråga dig själv: varför ska du leta efter ett sådant här hänglås och vad är det hänglåset indikerar? Så ger jag dig svaret nu. Hänglåset indikerar att anslutningen mellan din webbläsare och webbservern är krypterad och autentiserad. På ren svenska innebär det att informationen som ni överför mellan varandra sker över en säker anslutning som hindrar utomstående angripare från att avlyssna vad det är ni överför. Ingen angripare kan till exempel se lösenord som skickas fram och tillbaka.

Själva autentiseringen gör också att du kan vara säker på att webbsidan som visas i din webbläsare kommer från adressen som står i adressfältet. Utan hänglåset finns det inte något som garanterar det. Besöker du en sida som inte har hänglåset i adressfältet finns det ingenting som garanterar dig att det inte är någon angripare som har bytt ut hela eller delar av webbsidan du besöker.

Det finns till och med en risk för att en angripare har klonat hela den webbsidan som du hade tänkt besöka och publicerat en fejkad version av den, en nätfiske version av webbsidan som avlyssnar ditt lösenord när du överför det. Så du måste alltid leta efter hänglåset i adressfältet. Åtminstone innan du överför någon känslig information, eller vill vara säker på att informationen som du ser faktiskt kommer från den webbsidan som står i adressfältet.

Men det är det enda som det här hänglåset indikerar och garanterar. Hänglåset handlar bara om själva anslutningen till webbsidan. Inte om innehållet. Här ligger den stora missuppfattningen. Jag upplever att många tror att hänglåset också säger någonting om innehållet på webbsidan. Det gör det inte. Sidor som sprider skadlig kod, populärt kallat virus, kan också ha hänglås i adressfältet. Till och med nätfiskesidor kan ha hänglås i adressfältet om de ligger på en annan domän, alltså har en annan adress, än den riktiga webbplatsen.

Det amerikanska säkerhetsföretaget Phishlabs konstaterade att under det sista kvartalet 2018 var det hälften, eller 47 procent, av världens nätfiskesidor som hade ett hänglås i adressfältet.

Så det är väldigt viktigt att tänka på att hänglåset endast indikerar att anslutningen är säker. Det säger ingenting om innehållet på webbsidan som du besöker.