Oslo (NTB): Salget av nettbrett falt kraftig her i landet i fjor, samtidig som PC-salget økte tilsvarende. Det skjer blant annet fordi folk allerede har ett eller flere nettbrett i huset, tror bransjen.

Stiftelsen Elektronikkbransjen la tirsdag fram salgstallene for 2014. Samlet sett økte salget av elektronikkprodukter med 1,9 prosent, målt i omsetning.

Sammenlignet med 2013 falt salget av nettbrett med 36,9 prosent, samtidig som salget av bærbare PC-er gikk opp 29,2 prosent.

– Vi ser et markant fall i salget av nettbrett. Vi tror det er tre årsaker: Det er fryktelig mange som allerede har ett eller to nettbrett i hjemmet. Mobiltelefonskjermene blir stadig større, og de bærbare PC-ene har slått tilbake med nye formfaktorer, sier kommunikasjonssjef Marte Ottemo i Elektronikkbransjen til E24.

Utviklingen kommer etter en periode med til dels kraftig fall i PC-salget. For mobiltelefoner sank omsetningen med 4,8 prosent.

Innen lyd- og bildeprodukter steg omsetningen med 7,6 prosent. For foto isolert sett ser det imidlertid mørkere ut. Salget av speilreflekskameraer falt med 37 prosent, mens omsetningen av kompaktkameraer gikk ned hele 50 prosent. (©NTB)

Det er mange ting Google som selskap er opptatt av, men blant de viktigste er fart og åpne standarder der hvor det er mulig. Derfor utviklet selskapet i 2009 en ny og åpen nettverksprotokoll som skulle kunne levere websider betydelig raskere.

Men i går kunngjorde selskapet at støtten for SPDY-protokollen (uttales som «speedy») på sikt skal fjernes fra Chrome. Men det dreier seg egentlig ikke om noe tilbaketog. Egentlig tvert imot.

Utdatert
De aller fleste webservere leverer websider ved å bruke nettverksprotokollen HTTP (Hypertext Transfer Protocol). De fleste bruker versjon 1.1 av denne protokollen. Den er fra 1999.

Mye har endret seg på weben siden 1999. Mye av innholdet er i dag komplekse applikasjoner som består av mange ulike filer som lastes ned hver for seg. Langt mer av innholdet overføres dessuten kryptert over stort sett raskere forbindelser enn i 1999, og både servere og klienter har blitt langt kraftigere.

For å utnytte alt dette på en bedre måte, ble tok SPDY blant annet i bruk funksjonalitet som prioritering, multipleksing av datastrømmer og komprimering av header-informasjon. Men selv om SPDY-spesifikasjonen er åpen og også støttes av andre nettlesere enn Googles, så er ikke spesifikasjonen standardisert.

HTTP/2
Derimot har det vært ganske bred enighet om at en ny versjon av HTTP-protokollen, som nå er på god vei til å bli standardisert, vil ta i bruk en del av hovedfunksjonaliteten i SPDY.

Google vil derfor gradvis rulle ut støtte for den nye HTTP-protokollen, HTTP/2, i Chrome 40 i tiden framover. Chrome 40 er hittil den nyeste, stabile utgave av Googles nettleser.

Selskapet planlegger å fjerne Chrome-støtten for SPDY i begynnelsen av 2016. Selskapet vil samtidig gjøre noen endringer i hva som støttes av utvidelser til krypteringsprotokollen TLS (Transport Layer Security). I dag støttes utvidelsen NPN (Next Protocol Negotiation). Denne skal erstattes av utvidelsen ALPN (Application-Layer Protocol Negotiation).

NPN er en Google-forfattet spesifikasjon for som har primært blitt brukt i forbindelse med SPDY, mens ALPN er på god vei til å bli en IETF-standard for protokoll-forhandlinger i tilknytning til TLS og HTTP/2.

Webservere
For å kunne ta i bruk HTTP/2- og ALPN–støtten i nettleserne, må også verdens webservere få støtte for de samme teknologiene. Ellers vil forbindelsene måtte skje ved hjelp av gamle HTTP 1.1.

En oversikt over dagens implementeringer av HTTP/2 finner på denne siden.

Google jobber dog med en enda en teknologi for raskere overføring av webinnhold. Den kalles for QUIC (Quick UDP Internet Connections) og er foreløpig ganske eksperimentell. Digi.no har omtalt QUIC i denne artikkelen. Det er mulig å følge utviklingen av denne teknologien her.

Microsoft og Samsung har inngått forlik etter uenighet om patentroyalties, en uenighet som i fjor høst førte til at Microsoft saksøkte Samsung for kontraktbrudd.

Samsung var blant de første som inngikk en avtale om bruk av Microsoft-eide patenter i forbindelse med Android-enheter. Dette skjedde allerede høsten 2011. To år senere beste Samsung seg for ikke lenger å overholde avtalen på grunn av Microsofts oppkjøp av Nokias mobildivisjon. Selskapet mente at betingelsene for avtalen ikke lenger var til stede.

Ifølge Reuters kunngjorde Microsoft i går at selskapene nå har kommet til enighet. Hva de har blitt enige om, er dog konfidensielt. Søksmålet i høst dreide seg om hvorvidt Samsung skulle betale Microsoft 6,9 millioner dollar i renter for royalties på mer enn én milliard dollar som Samsung hadde holdt tilbake.

Etter skatt fikk Evry et overskudd på 125 millioner kroner i fjerde kvartal. Det er opp fra de 307 millioner kronene de tapte samme kvartal året før.

Inntektene er i perioden er ned 3,14 prosent til 3,36 milliarder kroner.

IT-giganten som er i ferd med å bli kjøpt opp av et utenlandsk investeringsfond rapporterte regnskapstall tirsdag morgen.

For 2014 som helhet omsatte de for 12,77 milliarder kroner, en oppgang på 1,37 prosent. Nettoresultat etter skatt er opp fra minus 59 millioner kroner til et overskudd på 412 millioner kroner.

I sin kommentar vektlegger konsernsjef Terje Mjøs økt lønnsomhet, som han sier skyldes forbedringer i leveransene til bank og finans, samt virksomheten i Sverige.

– Evry fortsetter å styrke lønnsomheten som et resultat av forbedringer i segmentene Financial Services og Evry Sverige. Samtidig pågår det et målrettet omstillings- og forbedringsarbeid i segmentet EVRY Norge som skal styrke konsernets langsiktige lønnsomhet i tråd med de EBITA-mål som er kommunisert. Vi avslutter fjerde kvartal med forbedret operasjonell kontantstrøm og en økt ordrereserve, sier konsernsjefen.

Norge henger etter
I Norge er omsetningen fortsatt negativt preget av bortfall av inntekter fra Posten innen applikasjonsforvaltning.

Omsetningen i Norge er ned 7 prosent i fjerde kvartal til 1,56 milliarder kroner, men for året som helhet opplyser Evry at nivået tilsvarer det de hadde i 2013. EBITA-resultatet på 80 millioner kroner er 22 prosent dårligere enn i samme periode året før.

Selskapets omstilling de siste kvartalene pågår fortsatt. Målet er ifølge Mjøs å styrke konsernets langsiktige lønnsomhet.

Dette gjør de blant annet ved å sette arbeidsplasser ut av landet.

Ved årsskiftet hadde Evry 10.350 ansatte, eller 55 flere enn året før. Økningen skyldes i hovedsak 242 flere ansatte i Global Sourcing-virksomheten i Øst-Europa og India.

Tilsvarende er det blitt færre ansatte i de øvrige segmentene. Ved nyttår hadde Financial Services 1.457 ansatte (33 færre), Evry Sverige 2.219 ansatte (89 færre). I segmentet Evry Norge er staben det siste året redusert med 34 personer til nå 3.344 ansatte.

Oppkjøpet
Evry er som kjent i ferd med å bli kjøpt opp av Lyngen Bidco, kontrollert av det utenlandske investeringsfondet Apax Partners.

De har levert et kontantbud på 16 kroner aksjen som hovedeierne Posten Norge, Telenor og Evry-styret har anbefalt overfor aksjonærene.

I forrige uke hadde budgiver mottatt aksept for om lag 87 prosent av aksjene, men må ha aksept for 90 prosent for at betingelsene i oppkjøpet skal tilfredstilles, slik at de kan tvangsinnløse det øvrige. Budet på Evry er forlenget til onsdag denne uken klokken 9, men akseptperioden kan bli ytterligere forlenget til 25. februar.

San Francisco (NTB-AFP): Den amerikanske databrikke-leverandøren Qualcomm må betale over 7 milliarder kroner i bot for brudd på Kinas monopollover.

Boten på 6 milliarder yuan, drøyt 7 milliarder kroner, tilsvarer 8 prosent av selskapets omsetning i Kina i 2013, ifølge kinesiske myndigheter. I tillegg til boten må selskapet gjøre en rekke endringer i sin kinesiske virksomhet.

Misbruk
Saken startet høsten 2013, da anonyme selskaper varslet myndighetene om at Qualcomm misbrukte sin sterke markedsposisjon ved å kreve høye priser for kretskort og andre deler til mobiltelefoner.

Qualcomms virksomhet «begrenset fri konkurranse, sto i veien for innovasjon og utvikling, var i strid med kundenes interesser og brøt landets monopollover», heter det i avgjørelsen. (©NTB)

Fildelingsvirksomheten The Pirate Bays servere er alt beslaglagt, men påtalemyndigheten har også begjært at domenene thepiratebay.se og piratebay.se ikke lenger skal kunne brukes.

Utfallet av saken kan for første gang gi politiet mulighet til å stenge nettsider som utpekes som kriminelle, skriver avisen Dagens Nyheter.

– Et domenenavn er et hjelpemiddel for en nettside. Dersom siden brukes til kriminell virksomhet, så er domenenavnet et kriminelt verktøy, sier statsadvokat Fredrik Ingblad.

Det er ikke første gang en domstol i Sverige behandler krav om å stenge domener. Men tidligere har kravet blitt rettet mot domeneeier, som har mistet retten til å bruke domenet helt til det frigis til ny registrering.

Forskjellen i denne saken, som skal opp for retten i år, er at staten har rettet kravet direkte mot stiftelsen Punkt SE, som har ansvaret for hele registeret av. se-domener. Dersom statsadvokaten får det som han vil, forbys enten stiftelsen å la noen registrere Pirate Bays domener, eller staten overtar eierskapet. (©NTB)

Norske eksperter deltar i et europeisk prosjekt som skal gjøre det mulig å bruke datakraft fra ulike nettskyer med forskjellige teknologier samtidig.

En forenklet fremstilling er at Paasage-prosjektet prøver å smadre skyleverandørenes ønske om låse kundene inne på sine tjenester.

Og halvveis i løpet ser man konturene av noe som fungerer.

Industrielt
Flere forhold skal prøves ut i industriell bruk.

Ett er hos Evry, som ønsker å utvikle løsninger som kan rulles ut til mange skyteknologier.

Et annet skal IT-leverandøren Lufthansa Systems AG være prøvekanin på:

Ved behov for mye regnekraft på kort varsel, skal selskapet på et øyeblikk kunne bruke nødvendige ressurser fra et utvalg skyleverandører innenfor forhåndsspesifiserte rammer, som kapasitet, pris og responstid.

Selskapet eies av det tyske flyselskapet Lufthansa, men er uavhengig IT-leverandør til drøyt 300 flyselskaper verden over.

– I Paasage-prosjektet ønsker vi å teste vår løsning for flyruter. Det blir stadig oftere behov for å justere eller sette dem opp på nytt på kort varsel. Da er målet å kunne få tilgang til nok datakraft til slike regneoperasjoner fra ulike skyleverandører med en angitt kvalitet og til fornuftig pris, sier dr. Dirk Muthig.

Han leder produksjons- og systemdesign hos Lufthansa Systems.

Leverandøren har ikke egen infrastruktur, men baserer seg på innleide ressurser.

Flyselskapene har tilhold over hele verden, og Lufthansa Systems ser for seg en automatisert tilgang til et utvalg av aktuelle skytjenester tilpasset hvert selskap, for eksempel hvis det settes krav til at data ikke skal ut av hjemlandet til et flyselskap.

Sømløst
For Evrys del handler det om å kunne integrere applikasjoner sømløst mot flere sky-teknologier.

– Vi ser på en løsning for helsetjenester. Hvis vi kan legge inn parametere som oppfyller krav til personvern og helselovgivning i hvert land, kan det gi mulighet for å lansere applikasjoner i lavkostland som er utviklet i høykostlandet Norge, beskriver teknologisjef Frode Finnes Larsen hos Evry Industries Norway.

Siden oppstarten av Paasage for to år siden, har samarbeid mellom en rekke forskningsvirksomheter, utdanningssteder og teknologiselskaper ført frem til starten på en teknologi som fungerer.

– Det er ikke snakk om at vi ender opp med en ferdig hyllevare, men et sett teknologier som andre kan bygge videre på, sier forskningssjef Arnor Solberg ved Sintef IKT.

Så langt har de testet bruk av regnekraft på tvers av skytjenestene til Evry og giganten Amazon.

– Og i kontrollerte omgivelser har vi fått det til å fungere, sier Solberg.

Les også: – Kutt ut nettskyen

Pris og responstid
Sintef er med på å utvikle et modelleringsspråk kalt Camel, som angir hvilke kvaliteter og krav en kunde må ha innfridd.

Den informasjonen hentes fra en database som hele tiden oppdateres etter hvert som forholdene endrer seg.

Her er det snakk om pris, responstid og tilgjengelige ressurser til for eksempel lagring eller tunge regneoperasjoner.

– Vi har også laget programvaren som håndterer endringer i kvalitet hos leverandør eller krav fra kunde. Da skal oppgavene flyttes til nye skyleverandører mens tjenesten er oppe og kjører, sier forskningssjefen.

Et eksempel er at en leverandør skrur opp prisen. Da skal en kunde enkelt og greit kunne si takk for seg og kjøre videre hos en konkurrent.

– Er alle skyleverandører like begeistret for en slik utvikling?

– Nei, noen av de store er ikke så velvillige. Det har gitt seg utslag blant annet i at det ikke har vært like lett å få tak i nødvendig informasjon om grunnleggende teknologi alle steder, svarer Arnor Solberg.

De mindre aktørene er derimot mer interessert i å kunne dele, siden de alene ikke har ressurser nok til de større oppgavene.

Les også: Microsoft med selvkritikk om nettskyen

Åpen kildekode
Midtveis i prosjektperioden begynner det å haste med å få teknologiselskapene til å fatte interesse.

– Vi trenger tunge aktører på banen for at det vi kommer opp med kan utvikles videre til kommersielle løsninger, sier teknologisjef Finnes Larsen hos Evry.

Et virkemiddel her er at teknologien som utvikles har åpen kildekode, slik at enhver fritt kan bidra med forbedringer og videreutvikling.

For at teknologien skal ha et liv etter prosjektperioden, må den nå en kritisk brukermasse eller vekke interesse hos større teknologiselskaper.

I praksis gjøres Paasage-plattformen tilgjengelig gjennom det europeiske åpen kildekode-samfunnet OW2 for at alle kan bidra.

De neste månedene vil det bli kjørt flere såkalte demonstratorer som skal avdekke hva som virker og hva som trenger mer bearbeiding.

En av de store utfordringene vil være en virtuell tungregnemaskin, der større operasjoner som trenger mer ressurser kan utvides til en annen skyleverandør underveis, mens brukeren oppfatter det som én samlet operasjon.

– Noe av poenget her er å redusere innlåsing til én skyleverandør. I et globalt perspektiv kan det bidra til å gjøre europeiske it-aktører sterkere i konkurransen med USA og Asia, mener Finnes Larsen.

Microsofts «Clippy» har aldri vært spesielt elsket, men nå kan det hende at denne Office-hjelperen skal bringes tilbake. I en mer moderne form, selvsagt – og Bill Gates er kanskje involvert.

Selskapet skal være i ferd med å teste en applikasjon som kalles for Work Assistant, og ifølge kildene til Microsoft-kjenneren Mary Jo Foley skal denne brukes til å hjelpe Office-brukere på Windows-telefoner.

Det finnes allerede en Work Assistant-applikasjon i Windows Phone-nettbutikken, men den er merket som beta og kan ikke brukes av folk flest.

Kildene til Mary Jo Foley sier at applikasjonen og tjenesten utvikles av Digital Life + Work-gruppen hos Microsoft, og personen som leder prosjektet er Julie Larson-Green, en ganske profilert Microsoft-personlighet, med mye erfaring med grensesnitt.

Interessant nok er det verdt å påpeke at selveste Bill Gates er for tiden involvert i et prosjekt sammen med Microsoft, som han kaller for «Personal Agent». Denne skal huske alt, forklarte Gates, og hjelpe brukeren med å finne og velge relevante applikasjoner samt hjelpe med å informere brukeren hva som er nytt i disse applikasjonene. Løsningen skal fungere på tvers av alle enheter. Gates gav ikke noe mer konkret informasjon om prosjektet.

Windows Phone har selvsagt allerede i dag en ganske omfattende personlig assistent, Cortana, og denne vil utvides til fullverdige Windows 10. Det er ikke klart hvilket forhold Work Assistant vil ha til Cortana og om de vil jobbe sammen på noe vis, men The Verge skriver at Office-assistenten skal faktisk bygge på Cortana og stemmestyring. Microsoft vil også bygge Cortana inn i den kommende Spartan-nettleseren, det er ikke helt ulogisk at det vil komme en løsning som er dypere bakt inn i Office-pakken.

Smarte tv-er med støtte for talegjenkjennelse og -styring kan virke som et praktisk alternativ til fjernkontrollen. Det mange kanskje ikke tenker på, er at tv-en ikke kan vite om det den «hører» av tale er kommandoer ment for tv-en eller ikke, før den har tolket hva som blir sagt.

Dette ville ikke ha vært et problem dersom all talegjenkjennelsen foregikk i enheten. Men slik er det i alle fall ikke med Samsungs SmartTV-produkter. I alle fall deler at talegjenkjennelsen gjøres i servere som får tilsendt opptak av alt som blir sagt via internett.

Nettstedet The Daily Beast omtalte dette i en sak i forrige uke. Bakgrunnen for saken er informasjon som Samsung selv kommer med omtrent halvveis inne i selskapets personverninformasjon for SmartTV.

I denne informasjonen opplyses det at for å kunne tilby talegjenkjenningsfunksjonen, kan noen talekommandoer, sammen med informasjon som identifiserer enheten, blir sendt til en tredjepartstjeneste som konverterer talen til tekst. I tillegg kan Samsung i noen tilfeller samle inn talekommandoer og tilhørende tekster for å evaluere og forbedre tjenesten.

Men så kommer advarselen:

– Vennligst vær klar over at dersom dine uttalte ord inkluderer personlig eller annen sensitiv informasjon, så kan den informasjonen være blant dataene som fanges opp og overføres til en tredjepart gjennom din bruk av talegjenkjenning, skriver Samsung,

Det er ikke noe direkte galt ved det Samsung gjør, selv om Corynne McSherry i Electronic Frontier Foundation (EFF) sier til The Daily Beast at dersom hun var kunden, ville hun ha likt å vite hvem denne tredjepartstjenesten egentlig er, og om taledataene overføres på en sikker måte, slik at den ikke også kan avlyttes av uvedkommende.

I en uttalelse til The Daily Beast sier Samsung at selskapets SmartTV-modeller tar i bruk sikkerhetstiltak i henhold til industristandarder, inkludert datakryptering for å hindre uautorisert innsamling eller bruk.

– Talegjenkjenning, som lar brukeren kontrollere tv-en ved hjelp av talekommandoer, er en Samsung SmartTV-funksjon som kan aktiveres eller deaktiveres av brukeren. Tv-eieren kan også koble tv-en fra Wi-FI-nettverket, opplyser selskapet.

Kryptert overføring av data via internett blir stadig vanligere, og ikke uten grunn. Mye av det vi mottar eller sender fra oss av data består av informasjon som er fortrolig, og i alle fall noe av dette kan utnyttes av ondsinnede dersom de får tak i det. Ikke minst gjelder dette innloggingsinformasjon, fødselsnummer, samt informasjon om betalingskort og banktransaksjoner.

Til tross for dette synder svært mange norske aktører når håndterer slik informasjon. Yngve N. Pettersen, en tidligere Opera-veteran som senere har sluttet seg til Jon Stephenson von Tetzchners Vivaldi, har analysert bruken av kryptering hos til sammen 243 norske nettbutikker.

Som seniorutvikler i Vivaldi er jobber Pettersen med blant annet med sikkerhet, men han understreker overfor digi.no at dette prosjektet er gjort i privat regi.

Pettersen har jobbet sikkerhet og sikkerhetsprotokoller i nettlesere helt siden 1997. Han står blant annet bak åpen kildekode-prosjektet TLS Prober, som kan brukes til å registrere hvilken SSL/TLS-funksjonalitet internett-tilknyttede servere støtter, samt sårbarheter de er berørt av. I mai i fjor omtalte digi.no en undersøkelse om utbredelsen av Heartbleed som Pettersen hadde utført med dette verktøyet.

Skuffende

I en omfattende rapport om undersøkelsen, konkluderer Pettersen at resultatet var mildt sagt skuffende. Det er mye å sette fingeren på, men for å nevne noe av verste:

Bare 16 prosent av nettbutikkene krypterer innlogging til konto, mens kun 30 prosent krypterer steget hvor man begynte prosessen med å registrere adresse og betaling.

– Det vil si at 70 prosent av nettbutikken ikke krypterte steget hvor man enten logger inn eller registrerer sitt navn og adresse, og starter prosessen for å betale, skriver Pettersen.

Derimot ser det ut til at trinnet hvor man gir fra seg kredittkortinformasjon i de fleste tilfeller skjer på en kryptert side. Men som Pettersen understreker – i det fleste tilfeller gjøres dette hos en tredjepart, for eksempel Nets eller Dibs. Det er likevel mange tilfeller hvor leverandøren av nettbutikkløsningen som står for dette. To av disse nettbutikkene registrerte kredittkortinformasjon på ikke-krypterte sider.

– Bryter trolig loven
Undersøkelsen viste at minst 26 prosent av nettbutikkene ber om fødselsnummer via en ukryptert side. Pettersen mener dette kan være et brudd på personvernloven, siden Datatilsynet opplyser at når fødselsnummer sendes via telekommunikasjon, skal det krypteres. Butikkene krever ofte at kunden oppgir fødselsnummer dersom de ønsker å betale med en kredittjeneste eller faktura.

Pettersen mener at hele nettbutikken bør krypteres, og særlig dersom man logger seg inn. Han nevner en rekke årsaker til dette, men sentrale stikkord er mulighetene for phishing og uønsket profilbygging som ukryptert overføring av data åpner for, ikke minst når brukeren benytter offentlige WLAN-soner. Disse kan enkelt erstattes av falske soner med likt navn.

Pettersen nevner at det problematiske ved at kassesteget ukryptert, er at man risikerer at kriminelle leder en over til en phishingtjeneste hvor man blir fralurt kredittinformasjonen eller betaler beløpet til feil mottaker.

– At nettbutikken er kryptert betyr ikke nødvendigvis at nettbutikken gjør alt på en sikker måte bak nettstedet, men det er den eneste måten en kunde kan få en indikasjon på hvor alvorlig nettbutikkens eiere tar kundenes sikkerhet, siden det ikke er praktisk mulig for de fleste å få kontrollert de indre systemene i nettbutikken, skriver Pettersen. Rapporten hans tar for seg flere andre momenter, inkludert en analyse av hvorfor disse nettbutikkene ikke benytter kryptering. Han mener dog at ulike myter er en del av årsaken.

Hvem har ansvaret?

Sikkerhetsrådgiver i God Praksis, Per Thorsheim, sier til digi.no at undersøkelsen til Pettersen er svært grundig. Men på ett punkt vil han går litt lenger enn Pettersen.

For der Pettersen skriver nettbutikkeieren ikke har hele ansvaret i de fleste tilfeller, fordi særlig de mindre butikkene ikke utvikler sin egen nettbutikkløsning, men i stedet kjøper den av en leverandør, mener Thorsheim at hele ansvaret ligger hos nettbutikkeieren.

– Jo, nettbutikken jeg handler i har ansvaret for hele løsningen, uavhengig av hvor og hos hvem løsningen faktisk kjører. Kommer mine data på avveie så holdes nettbutikken ansvarlig, og så må de gå sine underleverandører videre, skriver Thorsheim i en e-post til digi.no.

– Dessverre er det en kjent problemstilling at mange tror at outsourcing av drift også inkluderer outsourcing av ansvar, noe som er helt feil, skriver Thorsheim videre. Han ønsker nettbutikker generelt skal benytte HTTPS fra start til slutt, slik at alle hans kjøp – enten det er av syltetøy, undertøy, datamaskiner, pengegaver eller politiske medlemskap – beskyttes mot uautorisert innsyn.

Passord i klartekst
Pettersen nevner ikke passordsikkerheten til nettbutikkene i sin rapport, men det er grunn til å tro at det fortsatt finnes norske nettbutikker som lagrer brukernes passord i klartekst. Dette kan både leses av utro tjenere og ved eventuelle innbrudd. Den enkleste måten å teste dette på for en kunde, er å oppgi at man har glemt passordet. Dersom nettbutikken oppgir passordet kunden har valgt, så har det blitt lagret i leselig form. Da er det i alle fall viktig at man ikke bruker det samme passordet ved innlogging på andre tjenester.

Nettbanker
Mens det ikke sjelden er små aktører som står bak nettbutikker, så er saken en helt annen med nettbanker. Det er ingen norske enkeltpersonforetak som driver en nettbank i Norge. Likevel er er det mange nettbanker som ikke har like god sikkerhet som du kunne og burde ha hatt. Det viser en undersøkelse gjort av webhotellet Raskesider.no. I et blogginnlegg forklarer daglig leder Erlend Eide at undersøkelsen er gjort med SSL Server Test-tjenesten til Qualsys SSL Labs. Denne tjenesten har mye felles med TLS Proper-verktøyet til Yngve N. Pettersen. Det er altså TLS/SSL-konfigurasjonene til offentlige webservere som testes.

I undersøkelsen har Raskeside.no ganske enkelt testet konfigurasjonene til åtte velkjente nettbanker som er tilgjengelige i Norge. Resultatene rangeres fra A+ til F, hvor A+ er det beste resultatet, og F er det dårligste. Ingen av de åtte nettbankene oppnår A+, men to har fått en A, mens én har fått en A-. I motsatt ende har tre fått karakteren F. Vi velger å ikke gjengi navnet på nettbankene her, men de navngis i blogginnlegget hos Raskesider.no.

POODLE
Nettbankene som ikke oppnår høyere karakter enn F, bruker blant annet protokoller og chiffersamlinger som har kjente og klare svakheter. Alle tre bruker stadig versjoner av programvare som åpner for POODLE-angrep, som utnytter en sårbarhet som ble allment kjent i oktober i fjor.

– Dette betyr i praksis at sikkerhetssertifikatene ikke gir den beskyttelsen de er ment å gi, og at kundene som bruker disse nettbankene ikke kan være helt trygge på at det bare er banken som kan følge med på kommunikasjonen, skriver Eide.

digi.no ba Per Thorsheim om en kommentar også til denne undersøkelsen.

– Resultatene er det ingen grunn til å trekke i tvil, men det er viktig for meg å påpeke følgende:

• Innsyn i transaksjoner vil ha liten interesse, både for kriminelle og for statlige aktører som for eksempel NSA. Førstnevnte kan ikke tjene penger på det, sistnevnte har andre, mer effektive og ikke minst lovlige måter å få tak i informasjon om pengetransaksjoner på.
• Svakhetene som påpekes muliggjør ikke endring av transaksjoner, for eksempel endring av beløp eller overføring til andre kontoer.

Ikke godt nok
– Det som undersøkelsen allikevel avdekker, og som for meg personlig fremstår som en mer interessant svakhet, er at disse webserverne med tilhørende SSL-konfigurasjon åpenbart ikke driftes og følges opp godt nok, skriver Thorsheim.

– Dersom de ved installasjon har hatt et oppsett som på installasjonstidspunktet var i henhold til anbefalt god praksis, så ligger de nå langt bak. Det er vanskelig å se noen teknisk vurdering som rettferdiggjør å kjøre med karakter F. Det er godt kjent at spesielt A/A+-konfigurasjon kan forårsake problemer for en del eldre nettlesere og operativsystem. A- skal meg bekjent være kompatibelt med alt som er relevant å bruke per dags dato av nettlesere, avslutter Thorsheim.