Tag Archives: HTTPS

Olika hemsidor beroende på vem man är hos Space2u?

Stötte på ett intressant fenomen idag när jag satte mig ned vid min ordinarie surfburk som kör allt genom Tor-nätverket. Jag besökte en hemsida som jag varit in på lite oftare än vanligt på sistone. Skrev in domännamnet i adressfältet och vips så ville den vidarebefordra mig till google.com?!

Mailade iväg och frågade förstås, som jag brukar när jag stöter på problem hos webbsidor, organisationer m.m.

Hej, varför blir jag vidarebefordrad till google.com när jag surfar in på er hemsida genom Tor-nätverket?

Vad Tor är: https://en.wikipedia.org/wiki/The_Onion_Router

Vidarebefordringen i sig vid närmare felsökning:

$ torify curl -sI http://regionvasterbotten.se | grep -E ‘^(HTTP\/|Location)’
HTTP/1.1 302 Found
Location: http://www.google.com

Är detta något ni bestämt eller något er hosting-leverantör orsakar?

Personligen önskar jag kunna surfa – särskilt på helt okrypterade hemsidor – på er hemsida oavsett internetuppkoppling. Det känns konstigt att leverera olika hemsidor på er domän beroende på vem som besöker den.

(Notera att jag var trött och försökte syfta på att jag inte vill surfa på okrypterade hemsidor utan anonymiseringsnätverk – men tyckte att det verkade för knasigt och tog bort det. Men inte allt. Så nu blev det ett konstigt, oförståeligt mail istället.)

Förmodligen är det Space2u, Region Västerbottens webbhotell, som orsakar detta. Det är ju dock inte okej att vidarebefordra besökare bara för att de surfar på ett visst sätt – genom Tor – och än mindre är det okej för en offentligt ägd och styrd organisation att premiera en kommersiell sökmotor med ett fruktansvärt – och välbefogat – rykte inom privatlivsutförsäljningsbranschen!

Det suger även att Space2u levererar hemsidor på en server där HTTPS-anslutningen faller tillbaka på deras egna domäns certifikat (vilket förvisso är halvt förståeligt) men levererar 403 Forbidden istället för hemsidan man bad om… Antar att de helt enkelt kräver extra betalt för HTTPS trots att det rimligen bör vara ett grundläggande krav på samtliga hemsidor idag.

Verkar inte som att Space2u verkar ganska dåliga på att leverera sin tjänst i alla fall, hade aldrig anlitat dem efter att ha stött på detta.

Uppdatering 2015-10-22: Fick svar att “de ska kolla på det” och resultatet är att numera kommer man åt regionvasterbotten.se genom Tor precis som man ska.

HTTPS sites going missing in the Internet Archive?

The Wayback Machine is a wonderful piece of technology. What it does is scrape sites on the internet and store the history of the publically available internet. It’s a very important task in this ever-changing environment.

However I’ve noticed just now – though I may just have been unlucky – that HTTPS sites, i.e. sites using SSL encryption, are not archived. I noticed this because I wanted to archive the site Free & Social – a StatusNet instance that the Swedish Pirate Party runs. So I posted a message on their forum, hoping to clarify whether this is a feature or a bug:

I’ve tried searching on the web and checking the FAQ, but I couldn’t seem to find an answer to why SSL sites don’t work with the Wayback Machine.

With more and more sites using https, everything from personal blogs to just about any site with a login, it would be a shame that the Internet Archive could not fetch these. Is there a technical difficulty that must be managed, or other reasoning behind this?

If I’m just mistaken and the https sites I’ve tried have malfunctioned for other reasons, I apologize. But from what I can see, a large (and growing) part of the internet is unfortunately not part of this mission as long as only HTTP connections get crawled.

I’m thinking maybe they don’t crawl SSL sites for some odd reason, like identity verification and so. Something like they can’t serve the site “properly” afterwards, or maybe arguing SSL sites are more secret. But I would argue that SSL sites are only SSL because cleartext transmissions are too easy to manipulate – the content is indistinguishable.

Do you trust all your internets to strangers?

Question: Japanese government, Staat der Nederlanden and Starfield Technologies Inc. – what do they all have in common? Answer: You trust all of them to verify identities and security on company websites and internet services.

Are you Japanese or Dutch? Have you ever heard of Starfield Technologies? I guess not. Still you’re probably using a web browser which has these “certificate authorities” as trusted “roots”. In short this means they can – with no security errors whatsoever – impersonate your bank, eavesdrop on your logins and make your computer believe everything is just fine. But only if they were to man-in-the-middle your communication physically or somehow manage to poison your DNS lookups of course.

So the scenario isn’t really your average Joe security issue, but the heart of the issue is a very important one. It’s a question of trust – a deep conviction of truth and rightness – and “trust” – the simple term used for computing security (though without the quotes).

All computer interaction is based on trust. You trust the computer is doing what it tells you it’s doing (which Free software lets you verify). However you also trust the other person’s computer to do what you’re asking it to do – and nothing more! Given the global scale of networking and computing, this is a hard task to verify manually – thus trust is given to cryptographic algorithms mathematically ensuring your data is handled by the correct entities without unwanted manipulation.

No ordinary person can ever understand, verify or control all parameters required for 100% secure computing. This is probably the reason why browsers (Firefox, Chromium etc.) include packs of “globally trusted” certificate issuers, such as Verisign, GoDaddy etc. Private companies that are virtually the foundation of today’s DNS-based internet, controlling or supplying top domain names. This is however where one should start worrying about who controls what. Remember what Verisign did to Wikileaks.org? Did you know that they want to make it easier to happen again?

So when one can’t trust the big boys, how can one really have trust in small, unknown organisations or companies? What are their respective thoughts on free speech, free internet and policies on eavesdropping? Wouldn’t you actually prefer a system of peer-to-peer review? The “web of trust” model as it’s called when a user trusts its friends, verifies identities and thus algorithmically increases trustworthiness of each respective peer.

I’m not sure what to make of this post more than express my belief that the web’s SSL structure using pre-loaded certificate authorities in software designed to handle your private communication is flawed. For my part, I’m trying to push people into using semi-WoT CAs like CAcert.org and encourage the development of new DNS models. But my guess is I’m not influental enough on my own. Will you join the p2p revolution too?