fredag, mars 13, 2015

Problemet med publika wifi-nätverk


Gratis trådlösa nätverk finns överallt idag, inte minst på gallerior eller större köpcentra.
Visst kan detta locka då man kan surfa runt i lugn och ro och slipper slösa på sin egen datapott.

Jag har inte funderat mer över problemet då jag anser att så länge man inte gör något viktigt över en okrypterad länk så kan det vara en vägd risk.

Vad jag stötte på härom dagen fick mig att fundera en runda till.

Jag satt och fikade på köpcentret Emporia och skulle surfa till en sida som automatiskt dirigerar till https:// i URL:en dvs att trafiken ska krypteras över SSL/TLS.

Det som hände var att jag fick upp en varning likt den ni ser överst i inlägget.
Nåväl, sådant har man råkat ut för tidigare, det kan bero på att certifikatet löpt ut, att klockan inte går rätt, eller på något annat sätt stör handskakningen i överföringen.

Jag testade då att surfa till www.google.se över https. Döm av min förvåning att jag får upp samma felmeddelande.
Jag tänkte en runda till och fick för mig att jag tidigare har behövt "godkänna" nyttjandet av det trådlösa nätet för att kunna surfa. Sagt och gjort, jag gick till emporia.se och godkände "avtalet".
Det hjälpte dock inte utan att all trafik över SSL/TLS fick felmeddelande.

För er som inte är tekniskt bevandrade innebär att surfa till "https" att trafiken från webbläsaren till hemsidan som besöks krypteras och kan inte läsas av. Om man inte surfar över https kan man (om man har utrustning) läsa av all information som skickas från webbläsaren till hemsidan till exempel; webbsidor, bilder, text, inloggningsnamn och ibland även lösenord.

Innan jag kopplade ner gick jag till startsidan och kopierade all avtals-text och noterade detta:
(jag har fetstiltat relevanta formuleringar)


7 SEKRETESS OCH TILLSYN
Information som skickas via oss och/eller Internet är i allmänhet inte konfidentiell. Vi kan inte och kommer inte garantera någon användares integritet eller skydd genom användande av Tjänsten såvida inte detta följer av tid efter annan gällande lagstiftning. Vi förbehåller oss rätten att övervaka användares överföring av information och material vid användande av Tjänsten när så bedöms nödvändigt för att skydda våra rättigheter.


Jag tolkar detta som att företaget som lägsta effort loggar metadata (mobil-id, klockslag, besökta hemsidor mm) men givetvis kan göra långt mycket mer.

Följande är saxat från en lång avtalstext på kanske två A4 sidor som garanterat ingen läser.
Något som kan få en att plocka fram foliehatten är vissa formuleringar tidigare i avtalet likt dessa:

3 HANTERING AV PERSONUPPGIFTER
3.1 Vi kommer att behandla dina personuppgifter. Med vi i detta sammanhang avses bolag inom den bolagsgrupp som vi ingår i. Det främsta syftet med att behandla dina personuppgifter är att vi ska kunna uppfylla våra åtaganden mot dig som använder Tjänsten och för att vi skall uppfylla de krav på exempelvis datalagring som gäller tid efter annan enligt lag.
3.2 Vi vill se till att du som använder Tjänsten får relevant information och erbjudanden från oss eller våra samarbetspartners. Vi behandlar därför dina personuppgifter även i detta syfte och om informationen eller erbjudandena berör någon av våra samarbetspartners kan även de komma att behandla dina personuppgifter i detta syfte.
3.3 De personuppgifter som främst kan komma att behandlas är sådana som du direkt eller indirekt lämnar till oss genom att använda Tjänsten [eller genom att bli medlem i vår kundklubb]. Vi behandlar dina personuppgifter under den tid som du utnyttjar våra, eller våra samarbetspartners, tjänster eller erbjudanden samt under den tid som vi tid efter annan är skyldiga enligt lag.
3.4 Genom att du använder Tjänsten samtycker du till vår behandling av dina personuppgifter på det sätt som vi beskrivit ovan. Du har rätt att en gång om året, kostnadsfritt, få information om vilka personuppgifter vi har om dig och hur dessa används. Du har också rätt att begära rättelse av felaktiga personuppgifter och att återkalla lämnade samtycken. Eventuell begäran om information, rättelse och återkallelse ska ske skriftligen till den adress som anges ovan.
4 MARKNADSFÖRING
4.1 Genom att du använder Tjänsten accepterar du att vi förser dig med information och/eller material såsom reklam från oss eller från våra samarbetspartners under tiden som du använder Tjänsten. Notera att du inte kan hindra sådan information och material eller avsluta undersökningar under tiden du använder Tjänsten utan att Tjänsten också avslutas.
4.2 Genom att du använder Tjänsten accepterar du även att dina personuppgifter används av oss eller våra samarbetspartners för marknadsföringsändamål även efter att du slutat använda Tjänsten. Vid eventuell direktmarknadsföring kommer sådan att skickas via [din sida på vår kundklubb], din e-postadress, SMS eller annan funktion. Genom att du använder Tjänsten accepterar du att vi sänder sådana meddelanden till dig. Du har rätt att tacka nej till sådana utskick vilket du gör genom att antingen sända ett e-postmeddelande till oss på Emporia@steenstrom.com eller använda dig av svarsfunktionen i de e-postmeddelanden, SMS eller annat meddelande som vi eller våra samarbetspartners skickar till dig.


Hur de ska kunna göra detta utan att de får mitt telefonnummer eller epost-adress får mig att tro att det kan vara ett avtal som även innefattar kundklubb eller liknande. Intressant är dock att de erbjuder en att få sina uppgifter utlämnade kostnadsfritt en gång om året. Detta ska jag nog gå vidare med just for fun :)

Så, tänk till en extra gång innan  du ansluter till ett öppet trådlöst nätverk. I värsta fall kan det vara ett helt fristående nätverk uppsatt av någon illvillig person som har ont uppsåt. Eller helt enkelt ett företag som suger ut privat information om dig.

Lösenordsskyddade nätverk är något bättre(om man t.ex får engångslösenord på ett kvitto eller annat sätt av personalen) då det åtminstone är krypterat mellan användare men det är fortfarande möjligt att läsa av viss trafik.