Pussig feil på hjemmeside til legesenter.

[Eivor]

(Beklager hvis jeg poster dette i galt underforum, fant ikke noe som helt passet.)

 

Legekontoret jeg bruker har hjemmeside som drives av helserespons.no og jeg har funnet en merkelig feil. En av linkene skal åpne en PDF-fil med priser i en ny fane.  I Edge, Chrome, Vivaldi og Firefox får en opp en ny fane med feilmelding om at nettstedet ikke kan finnes når en venstreklikker linken. Det samme skjer om en høyreklikke og velger åpne i ny fane eller vindu, UNNTATT i Firefox, da åpnes en lenke til domene og web-hotell tilbyderen nameunit.no

 

Syns det er veldig mystisk og gjør meg usikker på om en kan stole på sikkerheten til dette legesenter-nettstedet. Det er også rart, syns jeg, at ikke alle sidene er under https, informasjonsidene kommer først under https når man har klikket på de sikre sidene med timebestilling og sånt og gått tilbake til de i utgangspunktet usikre sidene.

 

Noen som har en formening om det er trygt å bruke en slik side?

[Eivor]

Klikka på linken og dens egenskaper for å se koden:

<a href="http://http://legeforeningen.no/PageFiles/44680/Prisliste_takstplakat%20fastlege%202017-2018.pdf"target="new">Priser hos fastlegen 2017/18</a>

 

Feilen er altså at http:// er gjentatt 2 ganger, så hvordan nameunit.no åpnes er en gåte.

 

Edit: Hvis en fra Firefox høyreklikker på linken i innlegget mitt skjer det samme, nameunit.no åpnes

Endret 2. mars 2018 av Eivor

[timeshift]

hvordan nameunit.no åpnes er en gåte.

Firefox vil forsøke å korrigere en URL som ikke er riktig eller komplett. Dette gjøres ved å bl.a. sette inn et manglende prefiks eller suffiks.

 

Hvilke prefiks eller suffiks nettleseren vil foreslå kan du finne om du åpner about:config i adresselinjen og søker etter strengene «browser.fixup.alternate.prefix» og «browser.fixup.alternate.suffix». Hos deg så er nok strengenes verdier satt til henholdsvis «www.» og «.no». Funksjonen kan evt. deaktiveres ved å endre verdien for «browser.fixup.alternate.enabled» fra true til false.

 

Ettersom lenken http://http//legeforeningen.no/PageFiles/44680/Prisliste_takstplakat%20fastlege%202017-2018.pdf ikke er en gyldig URL så velger Firefox i dette tilfellet å sløyfe alt etter den andre instansen av «http» og å legge til overnevnte suffiks for å fullføre lenken, Firefox prøver dermed å gjette på at du vil besøke «www.http.no». Domenet http.no er satt til å videresende til nameunit.no, så det er forklaringen på hvorfor du ender du opp der.

 

Ovennevnte forteller ikke noe om sikkerheten til helserespons.no eller legeforeningen.no, mest sannsynlig så er det noen som har blingset litt når de la ut lenken slik at «http://» kom med to ganger.

 

Det er også rart, syns jeg, at ikke alle sidene er under https, informasjonsidene kommer først under https når man har klikket på de sikre sidene med timebestilling og sånt og gått tilbake til de i utgangspunktet usikre sidene.

Dette derimot er alarmerende. Om en ikke kan stole på første inngangsledd så kan en naturligvis ikke stole på det andre heller. Anbefalt lesestoff om lignende tilfelle.

[timeshift]

SSL Labs og Observatory avdekker også en del flere problemer hos begge nettstedene.

[Eivor]

Jeg må for ordens skyld bemerke at den ødelagte linken på legekontorets hjemmeside er en ekstern link til legeforeningen.no og har trolig ingen tilknytting til Helserespons.

 

timeshift, imponerende at du fant ut av link-feilen!

 

Vil gjerne høre videre med dere angående sikkerheten, eller kanskje mangel på sikkerhet på hjemmesider driftet av Helserespons.

 

Jeg kan ikke godt røpe sånn offentlig hvilket legekontor jeg bruker, så jeg linker til er tilfeldig valgt legekontor som driftes av Helserespons, http://www.tynsetlegekontor.no

Kunne noen ta en titt på det og legge ut en kommentar? (Der ser en blandinga av http:// og https:// sider.)

 

Legger ut et skjermbilde fra https://helserespons.no si side, og et fra http://sentrumgynekologi.no/

Legg merke til kundeomtalen/reklamen nær bunnen av Helserespons-sida, som linker til Sentrum Gynekologi. Hos Sentrum Gynekologi kan man altså bestille time på en http:// side og det presiseres at det er sikkert.

 

(må sikkert klikke på bildene for å lese teksten)

 

Jeg tar også med litt av Observatory sitt skanneresultat av http://www.tynsetlegekontor.no og skjønner ikke hvorfor en mengde andre legekontor er listet opp men ikke Tynset (prøvde noen av adressene, og de var alle https:// sider!)

 

[Eivor]

Kan sånn ellers ikke se noen plass hos sentrumgynekologi.no at siden driftes av helserespons, selv om Helserespons bruker dem som kundereferanse.

[timeshift]

Kunne noen ta en titt på det og legge ut en kommentar? (Der ser en blandinga av http:// og https:// sider.)

En slik blanding er aldri god. Dette henger igjen fra utdaterte sikkerhetsmodeller der man tenkte at så lenge man ikke håndterte sensitiv informasjon så ville den ikke være nødvendig å beskytte, også mange sider som håndterte sensitiv informasjon valgte da å kun kryptere den delen som krevet innlogging. Dette er både en naiv og kraftig utdatert holdning, for som sagt så kan du ikke stole på noen påfølgende ledd dersom du ikke kan stole på det innledende leddet. De fleste har fått med seg at kryptering må til for å beskytte sensitiv informasjon, men kryptering må også til for å forhindre at all type informasjon enkelt manipuleres. Se gjerne Googles anbefalinger.

 

I tilfellet Sentrum Gynekologi så har de to skjemaer, et kontaktskjema på forsiden som leveres over http og som dermed er innlysende problematisk og et bestillingsskjema som også er like problematisk. Selve bestillingsskjemaet ligger plassert på helserespons.no der den leveres over https, men titter du på kildekoden for sentrumgynekologi.no (http) så ser du at skjemaet er integrert på deres ukrypterte nettsider:

<iframe width="410" height="1050" style="width: 100%;" class="resizable" title="Legetime" src="https://helserespons.no/timebok/codeword/sentrumgyn/" frameborder="0" scrolling="no"></iframe>

Det vil være uproblematisk for en angriper å endre eller fange opp all informasjon på sentrumgynekologi.no. Jeg vil ikke lage noen oppskrift på dette, men for å forstå alvoret så kan eksempelvis skjemaet på sentrumgynekologi.no byttes ut med et som sender informasjonen en annen plass, under «Kontakt oss» kan det legges inn et nytt telefonnummer eller adresse som ikke tilhører Sentrum Gynekologi, eller et overlag som fanger opp det de besøkende skriver inn i skjemaene (inkludert det de skriver og velger å ikke sende).

 

Ettersom bestillingsskjemaet på sentrumgynekologi.no presiseres å være trygt så vil det nok være mange pasienter som villedes til å tro det er trygt å gå i detalj om sine intime helseopplysninger, men kun det å besøke en gynekolog er en ytterst privatsak. Pasientene oppfordres til å beskrive hva besøket gjelder og å indentifisere seg med fullt navn og telefonnummer, inkludert sitt 11-sifrede fødselsnummer. Dette er helt klart en type informasjon man ikke ønsker å få på avveie.

 

 

Selv om vi diskuterer Sentrum Gynekologi sine nettsider og horrible sikkerhet så er de dessverre ikke noe unntak, men heller et eksempel på et veldig normalt og slepphendt fravær av gode sikkerhetsrutiner. Både kjente sikkerhetsforskere og andre frivillige har i årevis varslet ulike aktører med dårlige rutiner og forsøkt å hjelpe de helt gratis med å få ting på stell, i stedet besvares det ofte med ignoranse eller til og med trusler om politianmeldelse. Den 25. mai trer de nye GDPR-reglene i kraft, landets advokater vil få det travelt og vi får håpe de klarer å øke den generelle bevisstheten.