Även Hotmail kan säkra dina cookies nu

Publicerat: 10 november 2010 i Uncategorized

image

För exakt 2 år sedan, den 10 november 2008, skrev jag ett inlägg med rubriken Säkrare Gmail-sessioner. Där skrev jag om att Gmail (som då fortfarande var i beta) hade fått en inställning som gjorde att hela sessionen kunde förbli SSL-krypterad, inte bara själva inloggningen.

Jag skrev:

Eftersom Gmail använder en Cookie för att bekräfta att du är inloggad, och denna Cookie skickas okrypterat, kan elakingarna sno Cookien, själva gå till Gmail och (utan att ange ett lösenord) komma rakt in i din inkorg.

Verktyget Firesheep, som har fått mycket uppmärksamhet i media, har automatiserat detta, men problemet är alltså relativt gammalt. Google har sedan en tid tillbaka slagit på denna inställning på samtliga Gmail-sessioner, inte bara de som aktivt gjorde ett val.

Från och med idag kan man även i Hotmail slå på SSL-kryptering på all trafik, inte bara själva inloggningen.

Man går till https://account.live.com/ManageSSL och loggar in. Därefter får man upp följande val:

image

Detta kommer att skydda webbtrafiken till din Inbox, Kalender och Kontakter. Observera att om du aktiverar detta kommer du tyvärr inte längre att kunna nå Hotmail med Windows Live Mail eller Outlook (se punktlistan i bilden ovan). Jag har aktiverat SSL och kan fortfarande nå den via Windows Live Mail-klienten, men det kanske bara är en tidsfråga innan det stoppas.

Trafiken till SkyDrive, Photos, Docs och Devices är från och med nu automatiskt krypterad med SSL. Undrar hur länge det dröjer innan även Hotmail automatiskt aktiverar kryptering på all sin trafik? Antagligen tills man har löst accessen med mailklienterna.

Idag finns det ingen anledning att inte kryptera hela sessionen. Många tror fortfarande att det kan bli prestandaproblem på webbservrarna, men utveckling av SSL (till exempel klientcachning av sessioner) gör att lasten bara ökar försumbart. Google kunde t.ex. slå på SSL på all sin Gmail-trafik (och det är nog en hel del det) utan att uppgradera sin befintliga hårdvara.

Annonser
kommentarer
  1. Jonas skriver:

    Intressant nyhet! Det måste vi också skriva om

  2. Tom Aafloen skriver:

    Tack! 🙂
    Jag fick problem med Windows Live Mail efter ett tag när jag hade aktiverat detta, så jag får slå av det och manuellt ange https när jag loggar in via webben tills vidare.
    Tur att jag bara använder Hotmail som slaskadress.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s