{"id":1166,"date":"2009-09-01T21:31:19","date_gmt":"2009-09-01T20:31:19","guid":{"rendered":"http:\/\/epistel.no\/blog\/?p=1166"},"modified":"2020-06-08T07:02:25","modified_gmt":"2020-06-08T06:02:25","slug":"ikke-et-sikkerhetsproblem-ikke-bra-nok","status":"publish","type":"post","link":"https:\/\/epistel.no\/blog\/2009\/09\/ikke-et-sikkerhetsproblem-ikke-bra-nok\/","title":{"rendered":"&#8220;Ikke et sikkerhetsproblem&#8221; &#8211; Ikke bra nok"},"content":{"rendered":"<p><a href=\"https:\/\/www.politi.no\/\">Politiets nye nettsider<\/a> f\u00e5r hard medfart i dag. <a href=\"http:\/\/www.dagbladet.no\/a\/7905716\/\">Dagbladet<\/a> formidler mange gode poenger fra flere eksperter, og <a href=\"http:\/\/www.vg.no\/teknologi\/artikkel.php?artid=578201\">VG<\/a> p\u00e5peker at sidene er et eneste stort sikkerhetshull. Man skulle tro at sikkerhet var et viktig kriterium for utvikling av nettsidene til en av de samfunnsinstitusjonene som er aller mest avhengig av etterrettelighet og folkets tillit. I stedet ser det ut til at politiet og deres konsulenter mangler enhver forst\u00e5else for grunnleggende IT-sikkerhet. De har slengt hele nettstedet p\u00e5 https &#8211; antakelig i den tro at det \u00f8ker sikkerheten &#8211; men ligger (eller l\u00e5, det ser ut til at noen har v\u00e6rt ute og plugget hull n\u00e5) fullstendig \u00e5pne for kryss-side-skripting.<\/p>\n<p>Selv n\u00e5r feilene blir p\u00e5pekt forst\u00e5r de ikke alvoret i saken. Prosjektleder Tore Engen uttaler til VG at det &#8220;ikke er et sikkerhetsproblem&#8221; at Politiets nettadresse kan benyttes til videresending til andre nettsider. Dette til tross for at dette \u00e5pner for at hvem som helst kan lure brukere til \u00e5 sende informasjon ment for politiet til en helt annen mottaker &#8211; for eksempel anmeldelser og sensitive henvendelser. I tillegg kan hvem som helst legge ut informasjon som ser ut til \u00e5 v\u00e6re gitt av politiet, noe <a href=\"http:\/\/www.nettavisen.no\/it\/article2698184.ece\">Nettavisens<\/a> skjermbilde fra politi.no demonstrerer p\u00e5 humoristisk vis.<\/p>\n<p>At disse feilene finnes er i utgangspunktet ille nok. Men at prosjektets leder st\u00e5r og sier at disse gapende sikkerhetshullene er bagatellmessige og antyder at de vil bli fikset mest for \u00e5 slippe at folk maser om det, er urovekkende.<\/p>\n<p>N\u00e5r det gjelder prisen, som mange har harselert over, er han like avfeiende. <em>&#8220;De fleste tenker p\u00e5 nettside for en liten bedrift p\u00e5 ti personer. Der kan man slippe unna med 500 000 kroner i utviklingskostnader.&#8221;<\/em> sier han til Dagbladet. Dersom Engen kjente fagomr\u00e5det s\u00e5 godt som han burde ville han vite at ingen bedrift med ti personer bruker en halv million p\u00e5 nettsidene sine. De fleste bedrifter p\u00e5 denne st\u00f8rrelsen ligger n\u00e6rmere fem tusen kroner, bedrifter med sterkt informeringsbehov og sv\u00e6rt interaktive nettsteder kommer kanskje opp i femti tusen, alts\u00e5 en tiendedel av den &#8220;fillesummen&#8221; som nevnes.<\/p>\n<p>De fleste med kompetanse p\u00e5 omr\u00e5det forst\u00e5r at et nettsted med slike dimensjoner og (forh\u00e5pentligvis) utbyggingsmuligheter som Politiets er ikke kan utvikles p\u00e5 en m\u00e5ned av en fjortis som sveiver noe sammen av WordPress og noen tilfeldige plugins, og heller ikke kan kj\u00f8re p\u00e5 en server satt sammen av brukte deler plassert i en kjeller et sted. Men derfra til 25,6 millioner er det et langt steg. Med bedre prosjektplanlegging burde disse kostnadene kunne v\u00e6rt redusert en hel del.<\/p>\n<p>N\u00e5r det er sagt, fortjener de litt ros ogs\u00e5. Noe av kritikken har g\u00e5tt p\u00e5 at sidene framst\u00e5r som om de var laget for ti \u00e5r siden. Jeg mener det enkle designet er et godt utgangspunkt. Det er ikke n\u00f8dvendig \u00e5 bruke mengder av bilder, videoer, javascriptmenyer og fancy web2.0-magi for \u00e5 lage funksjonelle, informative nettsider (selv om man kan lure p\u00e5 hva de brukte all tiden og pengene p\u00e5 n\u00e5r de ikke brukte den til \u00e5 lage dilldall). Sidene fungerer godt for svaksynte og er fullt funksjonelle selv om man skrur av b\u00e5de bilder og javascript. \u00a0Man f\u00e5r h\u00e5pe (med de summene som er brukt p\u00e5 hardware og software, og det litt pussige grepet med \u00e5 legge css, bilder og js p\u00e5 hvert sitt eget domene som en form for last- eller foresp\u00f8rselbalansering) at tregheten til sidene er et forbig\u00e5ende problem som vil bli fikset med noen enkle justeringer av flaskehalser i l\u00f8pet av de neste dagene.<\/p>\n<p>N\u00e5r det gjelder informasjonsformidling, er ikke utformingen like heldig. De mange pressemeldingene p\u00e5 forsiden kunne med hell v\u00e6rt lagt p\u00e5 en egen underside, eventuelt med visning av den nyeste pressemeldingen i en boks p\u00e5 forsiden. Forsiden burde v\u00e6rt dedikert til formidling av svar p\u00e5 de sp\u00f8rsm\u00e5lene folk har n\u00e5r de g\u00e5r inn p\u00e5 sidene. B\u00e5de side- og toppmenyen ser ut til \u00e5 v\u00e6re greit sortert, sammen med de fire temaboksene, men alle pressemeldingene tar hovedfokus og forkludrer informasjonen i menyene. Her burde de l\u00e6rt av andre offentlige etater som <a href=\"http:\/\/www.nav.no\/\">NAV<\/a> og <a href=\"http:\/\/lanekassen.no\/\">L\u00e5nekassen<\/a>, nettsteder med liknende form\u00e5l og bruksm\u00f8nster som Politiets.<\/p>\n<p>Alt i alt? Noen lyspunkter, men dette er rett og slett ikke bra nok, uansett pris. Andre offentlige etaters nettsider l\u00f8per i sirkler rundt denne satsningen. Jeg forst\u00e5r at det er lett \u00e5 i f\u00f8rste omgang g\u00e5 i forsvarsposisjon og avfeie kritikk n\u00e5r man er stolt over prosjektet man har lansert. N\u00e5r st\u00f8vet har lagt seg h\u00e5per jeg prosjektleder og hans medarbeidere tar til seg det som kommer fram i media i dag med et \u00e5pent sinn, og lar seg p\u00e5virke i det videre arbeidet med nettsidene. Det meste av kritikken er sv\u00e6rt konstruktiv, og bunner i et \u00f8nske om bedre nettsider.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Politiets nye nettsider f\u00e5r hard medfart i dag. Dagbladet formidler mange gode poenger fra flere eksperter, og VG p\u00e5peker at sidene er et eneste stort sikkerhetshull. Man skulle tro at sikkerhet var et viktig kriterium for utvikling av nettsidene til en av de samfunnsinstitusjonene som er aller mest avhengig av etterrettelighet og folkets tillit. I [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"spay_email":"","jetpack_publicize_message":""},"categories":[9],"tags":[191,192,131,190],"jetpack_featured_media_url":"","jetpack_publicize_connections":[],"jetpack_shortlink":"https:\/\/wp.me\/ppHor-iO","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/posts\/1166"}],"collection":[{"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/comments?post=1166"}],"version-history":[{"count":5,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/posts\/1166\/revisions"}],"predecessor-version":[{"id":3322,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/posts\/1166\/revisions\/3322"}],"wp:attachment":[{"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/media?parent=1166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/categories?post=1166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/epistel.no\/blog\/wp-json\/wp\/v2\/tags?post=1166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}