Kommunal länkar osäker programkod och läcker information till Google

Jag har en (tim-)anställning hos Umeå Kommun. Tänkte nyss försöka mig på att gå med i facket, fixa A-kassa m.m. Det gick inte längre än att jag kom till fackförbundet Kommunals hemsida och möttes av ett fullkomligt tafatt säkerhetstänk från deras webbmaster.

Förutom att de förstås kör IIS, en proprietär och allmänt kass webbserver från Microsoft, så har de ingen respekt för oss som avstår från att automatiskt köra programkod (javascript) som levereras till ens webbläsare. De passar förstås även på att informera t.ex. Google (genom fjärrlänkade resurser) om samtliga sidbesök och således förmodligen även vilka internetanvändare som är fackligt aktiva m.m. Jag kan tänka mig att det inte är alla som är bekväma med att denna information sprids till privatägda reklamföretag.

I vart fall skickade jag iväg följande till deras webbmaster via ett formulär på deras hemsida:

Hej, det går dåligt att registrera sig som medlem hos Kommunal ifall man kör grundläggande säkerhetsplugins till sin webbläsare.

Jag använder främst NoScript, RequestPolicy och HTTPS Everywhere. Jag tillåter (genom Request Policy) kommunal.se att ladda jquery från jquery.com och låter även min webbläsare, genom NoScript, att köra javascript därifrån.

Dock länkar ni in dessa från HTTP-källor, vilket är helt bortom min förståelse att ni gör eftersom sidan i sig körs över HTTPS. Därför hämtar min webbläsare aldrig resurserna, eftersom att ladda javascript över HTTP är ungefär lika osäkert som att ladda hem och köra skumma program från ryska sidor finansierade med porr-reklam.

Varför ni nu behöver fjärr-länka ö.h.t. är ju en annan fråga, mycket bättre att bara hosta direkt på kommunal.se! :)

Oavsett vad så önskar jag att ni ser till så även säkerhetsmedvetna datoranvändare kan bli medlemmar i Kommunal utan att behöva sänka garden.

Tack & hej!

2 thoughts on “Kommunal länkar osäker programkod och läcker information till Google”

  1. Det känns skönt att det finns sådana som dig som inte kapitulerar utan enträget fortsätter kämpa för att världen ska bli lite bättre.

    Du är inte ensam!

  2. De har försökt ringa mig flera gånger. Jag använder ju dock inte telefonnätet, så det går inte så bra för dem att komma fram till mig. Skickade ett nytt meddelande:

    Hej, jag har kontaktat er tidigare gällande ett säkerhetsproblem på er hemsida där ni länkar till HTTP-källor från en HTTPS-sida – för programkod i javascript t.o.m. Detta vägrar givetvis en förnuftig webbläsare pga säkerhetsrisker vilket orsakar att ert bli-medlem-formulär inte fungerar. För säkerhetsmedvetna webbanvändare i alla fall.

    Jag använder helst inte telefonnätet pga opålitliga och demokratifientliga operatörer (Telia som säljer övervakningsutrustning till diktaturer m.m.) och har nu sett att ni försökt nå mig ett par gånger på telefonnumret som jag angav.

    Hade önskat bli kontaktad via epost istället om det går bra.

Leave a Reply to Lilleman Cancel reply

Your email address will not be published. Required fields are marked *