Virheellinen url Telia Financen asiakastietokyselyssä

https://www.whois.com/whois/teliafinance.fi

Kyllä tuo ihan oikealta näyttää. Itsellä ainakin ohjaa myös .com/fi osoitteeseen.

Tuo http osoite ohjaa myös https://www.teliafinance.com/fi eli mitään ongelmia ei ole.

Laita selaimen asetuksiin “Vain HTTPS tila” (HTTPS-only Mode) käyttöön, vaikka todennäköisesti selaimet varoittavat ilman ko. asetustakin. Ei tarvitse ainakaan sen jälkeen sitä varoa. 😉
Näissä voi joskus käydä niinkin amatöörimäinen moka, että sertifikaatti pääsee vanhenemaan. Tämä yleisellä tasolla siis ottamatta kantaa ko. tapaukseen. Siitä avaimen kuvasta osoitteen edessä klikkaamalla näkee sertifikaatin myöntäjän ja sen voimassaoloajan. Jos ei löydy, niin ei luonnollisestikaan pidä kirjautua sellaiselle sivulle.

Edit. Mitä tekstareiden linkkeihin tulee, jos niitä edes oikeasti on ihan pakko tekstarina lähetellä, niin ilman muuta osoitteiden kirjoitusasu kuntoon.

Tässä esimerkit miten puhelimen Firefox-selain suhtautuu HTTP-sivuihin, eli sivustolla ei ole tarvittavaa varmennetta ts. sertifikaattia. Ilman tuota mainitsemaani asetustakin päällä HTTP-sivut ovat nykyisin sellaisia harvinaisuuksia, että selaimet niistä varoittavat.

Amatöörien hommaa laittaa url-osoitteisiin http, vaikka https sivu olisi saatavilla. 🙈

Jotkut ovat vielä sitä mieltä, että tekstarilinkit ovat ok. Taitaa Telia Finance olla viimeisiä rahoituslaitoksia joka näin tekee? Kaikki pankit kun ovat valistaneet ihmisiä täysin päinvastaiseen suuntaan. Kyllä noita tekstarilinkkejä muutoin edelleen tulee.

No, onhan se niinkin, ettei tekstarin linkkiä voi piilottaa muun tekstin alle, kuten sähköpostissa, mutta… Tätä mieltä ollaan, kun se tekstarien välittäminen on omaa bisnestä:
https://quriiri.fi/2023/02/linkit-tekstiviesteissa-ota-nama-asiat-huomioon/

“Tekstiviestissä oleva linkki on oiva tapa aktivoida asiakas menemään nettisivulle. Linkkiä on turvallista klikata, mikäli tunnistaa sen oikeaksi ja on varma siitä, ettei se johda tietojenkalastelu- tai muulle huijaussivustolle. Mikäli linkki vaikuttaa epäilyttävältä, sitä ei kannata klikata. Linkkien sisällyttämistä viesteihin ei tarvitse pelätä tai välttää, kunhan ottaa huomioon alla olevat seikat.”

“Laita linkki tunnistettavassa muodossa. (tässä ollaan ainakin tämän keskustelun perusteella osittain epäonnistuttu) 
Suosittelemme asiakkaillemme aina laittamaan linkin siinä muodossa, josta vastaanottaja voi sen tunnistaa (esimerkiksi https://quriiri.fi/sms). Näin asiakas voi olla varma, että päätyy linkkiä klikkaamalla aidolle sivulle.”

Eikö useimmat verkkosivujen käyttäjät ole amatöörejä, eivätkä tietoturvan asiantuntijoita, ja he luottavat siihen, että palveluntarjoajat ja selaimet suojaavat heidän yksityisyyttään ja tietojaan? Tahojen mitkä luovat palveluita, ja lähettävät linkkejä palveluihinsa olettaisi olevan niitä ammattilaisia. 

Eihän se selain kuitenkaan mitään päätä käyttäjän puolesta, vaan antaa vain varoituksen. Käyttäjä voi halutessaan ihan vapaasti jatkaa eteenpäin.  

Jonkun Let's Encrypt SSL-sertifikaatin saa ilmaiseksi kuka tahansa harrastelijakin, kun hankkii esim. webhotellin. SSL-sertifikaatti on digitaalinen todistus, joka vahvistaa, että sivu käyttää HTTPS:ää, ja että sen omistaja on se, joka väittää olevansa. Ei sillä ole välttämättä mitään tekemistä sen kanssa, onko sivulla jotain kirjautumisia, tai “salaisia” tietoja vai ei.

HTTPS on myös yksi SEO rankingiin vaikuttava tekijä, eli se parantaa sivun näkyvyyttä ja sijoitusta hakukoneissa. Google on jo 10 vuotta, eli vuodesta 2014 alkaen suosinut HTTPS-sivuja hakutuloksissaan, ja vuodesta 2015 lähtien se on indeksoinut HTTPS-sivut oletuksena, eli pitänyt niitä ensisijaisina HTTP-sivuihin verrattuna (https://developers.google.com/search/blog/2015/12/indexing-https-pages-by-default).

No joo, tämä asia alkaa mennä nyt jo itse aiheen ohi, mutta pointtina oli tuoda esiin pintaraapaisu siitä, mitä eroa on HTTP- ja HTTPS-sivuilla. 😁

Tämä on täysin totta, ikävä kyllä. Mutta tuosta on aikaa. Minusta siihen lukon kuvaan luottamiseen ei ole vuosikausiin enää ihmisiä opastettukaan, muutoin kuin näkemään onko yhteys salattu vai ei, vaan nimenomaan tarkistamaan URL-osoitteen oikeellisuus.

Lukon kuvasta näkee edelleen onko yhteys salattu vai ei, sekä klikkaamalla eteenpäin sertifikaatin myöntäjän, mutta jälkimmäinen vaatii jo liikaa osaamista, kun asiat voisivat olla toisinkin, eli paremmin säännösteltyjä.

LE eli Let's Encrypt on ilmainen, avoin ja automatisoitu sertifikaattien myöntäjä. LE myöntää vain DV eli Domain Validation -sertifikaatteja, jotka tarkistavat vain, että hakija hallitsee domain-nimeä. Tämä ei takaa, että sivusto on luotettava tai turvallinen, vaan ainoastaan, että yhteys on salattu. Siksi käyttäjien ei pidä luottaa pelkkään lukon kuvaan, vaan tarkistaa myös sivuston osoite ja maine.

Ei voida olettaa käyttäjien tietävän mitä eroa on DV-, OV- ja EV -sertifikaateilla. Mutta selaimet tai selaimen lisäosat käyttävät myös muita tekijöitä, kuten sivuston ikää, käyttäjien palautetta ja virustorjuntaohjelmia, kun ne arvioivat sivuston turvallisuutta.

Jos sinulle mm. SEO on luksusta, niin yhdellekään yrittäjälle tai yritykselle se ei sitä ole, eikä kukaan itseään kunnioittava web devaaja toimittaisi asiakkaalleen sertifikaatin puuttumisen takia huonosti näkyvyyttä saavaa sivustoa.

Mutta kuten sanottua, niin menee pahasti nyt off topicin puolelle juttu tässä ketjussa, joten tätä voi jatkaa toisessa ketjussa jos siltä tuntuu. 😉

Tuo on hyvä uudistus, että tuo lukon kuva otettiin pois. Se toi ehkä vääränlaista turvallisuudentunnetta. Hienosti kaikilla huijausivuillakin oli sertifikaatit kunnossa...

LE oli juuri syynä siihen, että yhtäkkiä kaikilla fake-paypal.com olikin sertifikaatti ja siihen asti ihmisille oli kerrottu, että lukon kuva takaa turvallisuuden.

Näinpä Chrome-selain antoi jo lukolle potkut. Sen tilalle tuli liukusäätimet. Säädinnapin kautta pääsee tarkastelemaan SSL/TLS salauksen tietoja ja evästeitä.

Chromium Blog: An Update on the Lock Icon

Jos liikenteessä ei ole mitään salaista niin sen salaaminen on enemmän luksusta kuin kriittistä.

Älä unohda, että salaus estää samalla mies-välissä hyökkääjää muokkaamasta liikennettä. Nettikahvilassa käydessäsi http-sivujen kuvat voi vaikka kääntää ylösalaisin. Tai tarjota haittaohjelmaa.

Monet ajattelevat, ettei heillä ole mitään salattavaa internetissä, tai sitten tieto ja osaaminen on puutteellista tai vanhentunutta. Itselläni HTTP-sivut pyörivät vain devaus ympäristössä. Tietoturva ei ole vain henkilökohtaisten tietojen suojaamista varten. Tietoturva on olennainen osa verkkoliikenteen salaamista, ja verkkosivujen aitouden varmistamista. Tämä huolimatta edellä mainituista sertifikaatteihin liittyvistä puutteista.

HTTPS:n tarkoitus on, ettei kukaan voi lukea tai muokata tietoja, jotka kulkevat selaimen ja palvelimen välillä. Tämä estää mm. em. man-in-the-middle -hyökkäyksiä. Hyökkääjä voi yrittää muuttaa verkkosivun sisältöä, esimerkiksi lisätä mainoksia, haittaohjelmia tai vääriä tietoja. HTTPS varmistaa, että sivusto on aito ja sen sisältö on sama kuin palvelimen lähettämä.

HTTPS on nykyinen standardi. Se on tärkeä kaikille verkkosivuille, ei vain henkilökohtaisten tietojen käsittelyyn. Siksi on ihan hyvä, että tämä off topic aihe tuli esille. Selkeästi asiassa oli valistamiselle sijaa.

Ugh! Over and out… 😁

Enemmän kyllä itseä huolestuttaisi jos verkossa olisi toimija joka pystyy menemään mieheksi keskellä mutta jolla ei olisi kykyä murtaa HTTPS. Silloin olisi joku ei-valtiollinen taho murtanut ISP tasolla jotain. Valtiollisia tahoja taas on turha pelätä paitsi poliitikkojen, toimittajien yms ammatissa toimivien. 

Toki tuo onkin ihan eri asia. Keskusteluhan HTTP/HTTPS lähti Telia Financen linkistä tekstareissa. Mielestäni missään vaiheessa ei ole ollut edes kyse mistään omaan käyttöön pystytetyistä henkilökohtaisista www-, tai muista palvelimista. 

Jos käytät henkilökohtaiseen käyttöön jotain palvelinta tai palvelimia, niin tuskin tuolla on yhtään mitään merkitystä. Itse tiedät varmasti parhaiten mitä tarvitset. 👍 Ei siitä ole mitään tarvetta "vääntää". 😃

Ainakin itse yritin kertoa mielestäni selkeästi, että vaikka nettisivusto ei vaatisi yhtään mitään kirjautumisia, niin kenellekään yrittäjälle tai yritykselle ei kukaan toimittaisi tänä päivänä HTTP-sivustoa. Oli sitten kyse vaikka yhden henkilön toiminimestä. Ehkä viestini oli sitten huonosti muotoiltu. 1. Huono SEO ranking, eli vähemmän näkyvyyttä hakukoneiden hakutuloksissa, joka veisi pohjan koko digitaaliselta markkinoinnilta, 2. selaimet varoittavat aina ennen sivuille menemistö, eli ko. yrittäjän/yrityksen asiakkaat olisivat ihmeissään onko sivusto turvallinen vai ei. 
Listaa voisi jatkaa, mutta tuossa ne ilmiselvät, ja heti käytettävyydessä näkyvät asiat. 

On minullakin tällä hetkellä Azuressakin yksi virtuaalikone, johon pääsen SSH:lla, tai VNC:llä SSH-tunnelin läpi. Tällä hetkellä siitä ei ole mitään muita portteja auki, eli esim. mitään www-palvelinta ei ole käytössä. Jos en jonnekin jotain esim. henkilökohtaista virallista portfoliota tekisi, niin sertifikaatin hankkiminen... Käyttötarkoituksen mukaan. 😊 Tosin Azuren hinnoilla tuo ei kauaa siellä ole, kun free tierin 100 dollaria tulee täyteen. 😅 

Sattuneesta syystä on kuitenkin tässä nyt useampiakin ilmaisia vaihtoehtoja domain nimineen tarjolla ainakin vuodeksi eteenpäin. 

HTTPS-sivu ohjaa myös HTTP-pyynnöt automaattisesti HTTPS-osoitteeseen, jotta yhteys pysyy suojattuna. Tämä ei kuitenkaan tarkoita, että HTTP-osoite olisi turvallinen, vaan että siinä tapahtuu uudelleenohjaus. HTTP-HTTPS redirect.  

Toimimaton sivu ei ole parempi vaihtoehto, mutta ei myöskään HTTP-osoite, joka ei ole salattu. 404-virhe ei liity tähän mitenkään, vaan se tarkoittaa, että palvelin ei löydä pyydettyä sivua. 

URL on väärin kirjoitettu, mutta siitä ei ole mitään vahinkoa, koska tässä tapauksessa HTTPS-sivu on olemassa. Siis tässä tapauksessa. URL antaa sen saajalle virheellistä tietoa, eli linkin kirjoitusasulla on merkitystä, vaikka se ei vaikuttaisi sivun toimivuuteen. Sen yhden S-kirjaimen puuttuminen viittaa suojaamattomaan sivuun, kun tekstiviestillä lähetetyn linkin pitäisi tietenkin vastata todellista sivua mihin se johtaa, jotta se ei herätä asiakkaissa epäilyksiä - josta tämä koko ketjun aloitus.