När du läst om tillägget till Firefox som gör vem som helst till spion och hackare redo att kapa ditt Facebook-konto kan du antingen bestämma dig för att undvika publika wifi-nät tills Facebook fixat säker inloggning på sin sajt.
Eller också kan du ta upp kampen mot alla nyblivna kontokapare och installera ett annat tillägg, som gör Facebook säkrare.
Jag hittade ett som heter Force-TLS som verkar göra jobbet, i alla fall med Facebook. Du kan hämta det här. Det är också en Firefox-plugin. Jag vet inte om det finns motsvarande för andra webbläsare.
När du installerat det hittar du det i menyn Verktyg. Där ställer du in vilka sajter du vill tvinga till säker inloggning. Skriv facebook.com där och kryssa i att det ska gälla även undersajter. Har du andra sajter du loggar in på som inte har https:// i början av adressen så skriv in dem också. Det är inte säkert att det fungerar. Om sajten inte har stöd för det kommer du att få ett felmeddelande i stället för att komma fram till sidan. Se till att du är utloggad från Facebook när du installerat Force-TLS. Loggar du in då ska du hamna på en säker sida med grön färg till vänster om adressen och ett litet hänglås längst ner till höger.
Skriver du facebook.se när du loggar in på Facebook så funkar det inte med säker inloggning. Men på facebook.com går det. Force-TLS gör att sajten håller sig kvar i säkert läge även när du surfar runt inom facebook.
Dina användaruppgifter kan kapas även efter själva inloggningen, eftersom sajten du surfar på skickar en så kallad cookie, en liten fil, till din dator för att hålla reda på om du är in- eller utloggad.
Det måste alltså stå https:// i början av adressen även inne på sajten, inte bara vid inloggningen, för att informationen ska vara skyddad.
Tillägget skyddar inte i alla lägen, bara när sajten har stöd för det. Men du blir uppmärksammad på när det inte är säkert, då stoppas du av ett felmeddelande.
Väldigt många har laddat ner det där tillägget som gör att de kan spionera på andra i oskyddade nät. Alla kanske inte tänker använda det, de som gör det begår ett brott. Men många kommer säkert att försöka ställa till oreda för andra bara för att ha kul. Så till skillnad från många andra larmrapporter om it-säkerhet så är det här ett hot det är klokt att ta på allvar.
Force-TLS kan kanske inte stoppa spion-pluginen i alla lägen.
(Jag har sett att TechChrunch och Joakim Jardenberg skriver om Force-TLS. Verkar oklart hur bra det funkar, men det gör i alla fall ingen skada. Ännu mer spännande på TechCrunch är ett rykte om Apple och Spotify. )
Tillägg: Eric Butler anger själv Force-TLS som ett sätt att skydda sig mot dem som spionerar med hans plugin.
Han bör ju veta.
… eller gå under jorden
Du kan också hålla spioner och hackare borta genom att göra som företagen och låta din internettrafik gå genom en skyddad tunnel. VPN står för virtual private network och ger dig en krypterad tunnel genom det öppna nätverket.
Mullvad.net är en tjänst som finns i Göteborg som låter din trafik gå via deras servrar i en VPN-tunnel för 50 kronor i månaden.
Den är från början gjord i protest mot FRA och IPRED, men funkar mot illasinnade hackers också.
Det går att testa i tre timmar utan att betala.
Snart kommer Facebook antagligen att fixa till sin sajt så att det blir säkrare att surfa där.
Men om du måste koppla upp dig i oskyddade nät och vill slippa vara orolig så kan den där mullvadstjänsten vara bra att ha även senare.
Har du mobilt bredband, eller en smartphone med fastpris på datatrafik kan du slippa problemet genom att använda mobilnätet i stället. Mobilen går att koppla till datorn med usb eller bluetooth och använda som modem.
Men utomlands där datatrafiken kan vara svindyr är det bra att kunna använda wifinät. Så även om du inte har Facebook kan det vara bra att fundera på hur du ska göra för att inte riskera att få konton kapade.
Gäller det här enbart öppna nätverk? Hur är det med nätverk man har hemma, vårt måste man ha lösenord för att kunna ta sig in på? Gäller detta även den typ av nätverk? Kan någon hacka sig in på min hotmail och facebook även om man måste log ain med lösenord på de trådlösa nätverket?
Svar till Signe: Om ditt nätverk hemma är krypterat kan inte spionprogrammet avlyssna kommunikationen. Man ställer in det i routern. Du kan se i datorns nätverksprogram om anslutningen är säker eller öppen, i listan över tillgängliga nätverk. Håll musen över eller högerklicka eller liknande för att få information. Det finns olika sorters kryptering. WEP är det svagaste. WPA är säkrare och WPA2 ännu säkrare. (Om jag nu fattat det rätt)
Vilken underbar journalistik. ”Jag har sett att TechChrunch och Joakim Jardenberg skriver om Force-TLS. Verkar oklart hur bra det funkar, men det gör i alla fall ingen skada.”. Det journalisten berättar är alltså att hon läst något men att hon inte vet.
@Glenn Lacrosse
Det här är ju en blogg, och inte en regelrätt tidningsartikel på det viset, varför jag tycker det är är OK om det kan spekuleras lite eller hur?
Och är man tydlig med att det är information som man själv inte kunnat verifiera innebär det ju bara att det förväntas komma in uppdateringar och kommentarer som styrker eller avfärdar den informationen.
Svar till Glenn: Jag skriver så ärligt som möjligt. Jag skulle kunna använda någon svepande formulering om att ”Mycket tyder på…” eller ”Uppgifterna är motstridiga” och ingen skulle bli klokare av det. Fördelen med en blogg är ju att man kan ändra och rätta efterhand som nya uppgifter blir kända. Jag länkar till andra ställen som skriver om det för den som vill veta mer. Det är väl inget konstigt.
Så fungerar programmet på WPA-Personal? Eller kan jag känna mig trygg när jag går in och kollar mailen?
Svar till Signe: Jag vet inte säkert om WPA personal stoppar den här pluginen. Det finns olika uppgifter om det. Men mejlen har du väl ändå på säker inloggning? Det går att ställa in på gmail i alla fall. Se till att det står https:// först i adressfältet.
Risken att bli kapad av nån som testar det här är nog större på publika nät än i hemmet.
Man måste vara ansluten på samma nät som den som använder programmet för att drabbas. Det är visserligen inte omöjligt att avlyssna wifi-trafik eller att knäcka wpa2-nät, men det kräver betydligt mer datorkraft och kunnande. Är ditt nät säkrat och inga andra kan ansluta till det kan du vara ganska lugn.
Bra att logga in via https på facebook, men tyvärr tappar man onlinevänner/chat-funktionen då. (iaf gör jag det)
Innan detta blev en nyhet så uppdaterade faktiskt Facebook sin säkerhet. Tror inte allt har kommit hit till oss svenskar än, men det finns mer att läsa på deras blogg; http://blog.facebook.com/blog.php?post=436800707130
Vad det handlar om är dels fjärrutloggning, kolla ditt konto och om någon annan (person eller enhet) är inloggad (t ex datorn på jobbet, kompisens telefon du lånade eller en elak hacker) så kan du logga ut personen när du själv loggar in. Skyddar dock inte mot att någon snor ditt lösenord.
Det andra är just för att skydda lösenordet. Känner du att det är osäkert att logga in på datorn, t ex på biblioteket, kan du skicka ett SMS och få ett engångslösenord. Kan vara rätt klyftigt att använda, men kan dröja innan det kommer till Sverige.
Tips!
Hej
Läste precis om det här: http://www.bytbil.com/motornyheter/Nyhet.aspx?id=svxcakyg
Peter
Svar till Peter: Ja, jag har sett det. Jag är inte orolig för Google, i alla fall inte på det sättet. De vill säkert tjäna pengar på mig på olika sätt, men de kommer aldrig att börja skriva konstiga saker i mitt namn på Facebook. Jag är kluven här. Dels är det väldigt bra om prylar även utan gps kan positionera sig bra i stan (och det kan det om man kartlägger olika nätverk), dels är det scary att Googlebilen kan få in allt möjligt vi trodde vi höll hemligt i sin trål.