Tag Archives: Tor

Olika hemsidor beroende på vem man är hos Space2u?

Stötte på ett intressant fenomen idag när jag satte mig ned vid min ordinarie surfburk som kör allt genom Tor-nätverket. Jag besökte en hemsida som jag varit in på lite oftare än vanligt på sistone. Skrev in domännamnet i adressfältet och vips så ville den vidarebefordra mig till google.com?!

Mailade iväg och frågade förstås, som jag brukar när jag stöter på problem hos webbsidor, organisationer m.m.

Hej, varför blir jag vidarebefordrad till google.com när jag surfar in på er hemsida genom Tor-nätverket?

Vad Tor är: https://en.wikipedia.org/wiki/The_Onion_Router

Vidarebefordringen i sig vid närmare felsökning:

$ torify curl -sI http://regionvasterbotten.se | grep -E ‘^(HTTP\/|Location)’
HTTP/1.1 302 Found
Location: http://www.google.com

Är detta något ni bestämt eller något er hosting-leverantör orsakar?

Personligen önskar jag kunna surfa – särskilt på helt okrypterade hemsidor – på er hemsida oavsett internetuppkoppling. Det känns konstigt att leverera olika hemsidor på er domän beroende på vem som besöker den.

(Notera att jag var trött och försökte syfta på att jag inte vill surfa på okrypterade hemsidor utan anonymiseringsnätverk – men tyckte att det verkade för knasigt och tog bort det. Men inte allt. Så nu blev det ett konstigt, oförståeligt mail istället.)

Förmodligen är det Space2u, Region Västerbottens webbhotell, som orsakar detta. Det är ju dock inte okej att vidarebefordra besökare bara för att de surfar på ett visst sätt – genom Tor – och än mindre är det okej för en offentligt ägd och styrd organisation att premiera en kommersiell sökmotor med ett fruktansvärt – och välbefogat – rykte inom privatlivsutförsäljningsbranschen!

Det suger även att Space2u levererar hemsidor på en server där HTTPS-anslutningen faller tillbaka på deras egna domäns certifikat (vilket förvisso är halvt förståeligt) men levererar 403 Forbidden istället för hemsidan man bad om… Antar att de helt enkelt kräver extra betalt för HTTPS trots att det rimligen bör vara ett grundläggande krav på samtliga hemsidor idag.

Verkar inte som att Space2u verkar ganska dåliga på att leverera sin tjänst i alla fall, hade aldrig anlitat dem efter att ha stött på detta.

Uppdatering 2015-10-22: Fick svar att “de ska kolla på det” och resultatet är att numera kommer man åt regionvasterbotten.se genom Tor precis som man ska.

Låt oss bygga färdigt häftet om säker kommunikation

Ung Pirat har tidigare sammanställt en guide till säker kommunikation för journalister. Detta är en jättebra idé och guiden bör definitivt spridas vitt och brett. Särskilt efter att jag hörde Bo Göran Bodin beskriva arbetet kring #saudivapen, hur man vidtog säkerhetsåtgärder för att inte avlyssnas när de diskuterade materialet som JK-anmälts som eventuell fara för rikets säkerhet. Vilket i själva verket var avslöjandet av omoraliska och närmast korrupta förhållanden inom FOI och mellan statshuvuden. Alltså exakt sådant som journalister ska arbeta med att avslöja.

Nu råkar det dock vara så att guiden Ung Pirat sammanställde mest är en ordbok snarare än instruktionsbok (en del info finns länkat på kampanjsidan). Jag upplever därmed att det finns en skyldighet för journalister och hackare att komplettera publikationen. Det är ett viktigt slag för bevarandet av trygg kommunikation – särskilt om lagboken sakta men säkert avvecklar den starka tryck- och yttrandefrihet samt meddelarfrihet som länge varit tradition i exempelvis Sverige.

Jag undrar dock vad man främst bör prioritera. Det är för svårt och krångligt att lära (och lyckas) få journalister och redaktioner att köra sina egna tjänster på nätet – och än mindre att ge dem erfarenheten att göra allt sådant utan nybörjarsäkerhetshål. De flesta journalister har inte datavetenskaplig bakgrund – och det finns många med sådan bakgrund som gör nybörjarfel de med.

GPG och säkra IM-tjänster och dylikt är ofta onödigt krångligt men närapå en given förutsättning för att slippa oroa sig kring överförandet och mer på vem man pratar med. Motsatsen till det – Tor och andra anonymiserade nätverk där överförandet kan vara avlyssnat – är ett viktigt komplement för att undvika spårning ifall man pratar med källor som inte får avslöjas i efterhand. Särskilt viktigt är det när datalagringsdirektivet är aktivt i Sverige också.

Två huvudpunkter – och generella förklaringar till varför – är alltså viktigt att få med. Hur man vet att kommunikationen inte kan spåras – och hur man vet att den ändå når fram till rätt person, utan att kunna läsas och inte har modifierats. Det ska det väl inte vara några problem att sammanställa i en kort, utdelningsbar skrift?