Heartbleed, senaste SSL-buggen

Heartbleed SSL-buggDet har nyligen uppdagats en ny och allvarlig bugg i programvaran OpenSSL, som används för säkra anslutningar mellan klient och server (via SSL/TLS). Buggen, med Security Advisory CVE-2014-0160, har fått namnet Heartbleed eftersom den berör minneshanteringen i heartbeat-funktionen för TLS.

Kunder med webbhotell eller dedikerad server med drifttjänst hos oss är inte påverkade av denna bugg.

Vi vill starkt rekommendera kunder med VPS, dedikerad server eller colocation-server att uppgradera sina Linux-servrar. Det räcker gott och väl att uppdatera sin server som vanligt (uppdatera källor, uppgradera programvaror och starta om servern).

På denna sida kan man kontrollera om en hemsida är påverkad av Heartbleed: http://filippo.io/Heartbleed/

Mer information om Heartbleed finns här: http://heartbleed.com/

Liknande inlägg:

Säkerhetshål i Linux: GnuTLS (SSL)

De senaste veckorna har ett allvarligt säkerhetshål i Apples operativsystem (iOS och Mac OS X) diskuterats flitigt ute på nätet. Säkerhetshålet berör säker/krypterad kommunikation och uppdateringar, som åtgärdar säkerhetshålet, är tillgängliga för Apple-användare (läs: uppdatera era mobiler/datorer om ni inte redan gjort det).

GnuTLS är trasigtDet är dock inte bara Apples operativsystem som drabbats av ett sådant här säkerhetshål. Ett liknande säkerhetshål har nyligen även upptäckts i Linux, eller i GnuTLS-biblioteket, som berör i princip alla Linux-distributioner (Debian, Ubuntu, Red Hat osv).

Säkerhetshålet är allvarligt då det under vissa omständigheter kan ge illasinnade möjlighet att avlyssna trafik till SSL/TLS-skyddade hemsidor (via en sk. man in the middle-attack). Det är inte bara är hemsidor som berörs, utan i princip alla tjänster med säker/krypterad kommunikation (e-post, databaser osv).

Om du kör en/flera maskiner (datorer/servrar) med Linux så vill vi uppmana till omedelbar uppdatering.

Säkerhetshålet i GnuTLS-biblioteket upptäcktes lite tidigare i veckan och våra tekniker uppdaterade alla våra Linux-baserade webbservrar (och servrar för kunder med drifttjänst) under vårt ordinarie servicefönster i tisdags. Våra webbhotellskunder (och serverkunder med drifttjänster) berörs inte av detta säkerhetshål.

Kunder som hanterar sina egna Linux-servrar hos oss bör dock omedelbart uppdatera dessa.

Denna artikel innehåller mer information: Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping. Här är den officiella informationen från GnuTLS: GnuTLS, Security Advisories, GNUTLS-SA-2014-2.

Liknande inlägg:

Fler väljer svensk, säker e-post

Hälsoläget i .se 2013.SE (Stiftelsen för internetinfrastruktur) presenterar årligen en rapport om hälsoläget i .se zonen, baserat på domännamn tillhörande statliga bolag, banker, finansföretag, kommuner osv. Det är domäner som förväntas ligga i framkant vad gäller teknisk utveckling, säkerhet och funktionalitet.

I undersökningen kontrolleras olika tekniska faktorer, som om domänerna har stöd för DNSSEC, IPv6, var de befinner sig geografiskt osv. Undersökningen för 2013 (PDF) inkluderar 913 st domännamn och även om det kanske inte är en statistiskt säkerställd rapport så är det en bra indikation av utvecklingen i den svenska domänzonen.

Det som främst fångade vårt intresse i den nya rapporten, det var e-postutvecklingen.

E-post är ett av de viktigaste kommunikationsmedel som vi har idag. Det är samtidigt ett av de mest utsatta kommunikationsmedel som finns. E-post skickas/tas emot och lagras vanligtvis i klartext. Dessutom lyssnar gärna många utländska myndigheter på den e-post som hanteras utanför Sverige.

Rapporten från .SE visar att allt fler tar sin e-postsäkerhet på allvar.

  • 2012 var 42 % av e-postservrarna för dessa domännamn placerade i Sverige. I den nya rapporten, för 2013, så är 54 % av e-postservrarna placerade i Sverige.
  • En annan positiv utveckling är stödet för TLS (säker kommunikation med e-postservrar). Föregående år hade 45 % av e-postservrarna stöd för TLS. 2013 hade 54 % av e-postservrarna stöd för TLS.

Även om det finns gott om utrymme för förbättring så är detta ändå glädjande. Att byta e-postserver kan vara svårt och ta tid (om man inte använder vår flytthjälp), så det är fullt möjligt att vi kommer få se ännu fler svenska säkra e-postservrar till nästa år (till följd av det senaste årets avslöjanden om utländsk övervakning).

FS Data är ett säkert webbhotellEtt enkelt sätt att få svensk, säker e-post är att välja FS Data som e-postleverantör.

Vi erbjuder snabba, säkra och stabila e-posttjänster från våra serverhallar i Helsingborg. Våra e-postservrar har givetvis stöd för TLS och vi arbetar aktivt för säkrare e-post, bl a genom att stödja den säkra e-postklienten Mailpile.

Läs gärna mer om våra e-posttjänster här: FS Data, E-post

Liknande inlägg:

Ännu säkrare servrar (ModSecurity)

Som ni säkert vet så arbetar vi väldigt aktivt på FS Data för att erbjuda våra kunder så snabba, säkra och stabila tjänster som möjligt. Vi har t ex en av branschens bästa brandväggslösningar, vi kontrollerar våra kunders hemsidor efter virus/skadlig kod, vi har ordentliga servicefönster varje månad osv, osv.

Vi tar det här med säkerhet på högsta allvar.

Nu har vi tagit nästa steg och installerat ett nytt säkerhetstillägg på alla våra Linuxbaserade webbservrar (för alla webbhotellskunder och serverkunder med drifttjänst). Säkerhetstillägget heter ModSecurity, det är baserat på öppen källkod och har utvecklats aktivt under flera års tid (det är stabilt och säkert).

Vad är ModSecurity?

ModSecurityModSecurity är ett tillägg till våra webbservrar (Apache) som upptäcker och förhindrar angrepp mot våra kunders hemsidor, baserat på olika listor över kända säkerhetshål. Det är ett skydd mot allt från SQL injection och cross-site scripting (XSS) till sårbarheter i lösningar som WordPress, Joomla, Drupal osv.

FS Data kör en kombination av flera säkerhetslistor, med både den allmänt tillgängliga listan (Core Rules) hos ModSecurity samt kommersiella listor (Commercial Rules) som tillhandahålls av Trustwave Spiderlabs (ännu bättre/mer effektiva). Listorna anpassas efter våra kunders behov och uppdateras fortlöpande för att täcka nya säkerhetshål.

Hur bra fungerar ModSecurity?

Vi har inledningsvis, sedan några veckor tillbaka, kört ModSecurity i ett analysläge. Detta för att kunna anpassa tillägget efter våra kunders hemsidor. Vi har under denna tid även gjort en djupare analys av trafiken mot våra servrar och sett att våra kunder är utsatta för 100 000-tals attacker varje dygn (som ModSecurity skyddar mot).

Vi har sedan tidigare ett väldigt bra skydd mot vissa former av attacker via våra brandväggar (de skyddar likaså våra kunder mot en stor del av den farliga trafiken). Med ModSecurity har vi dock ett skydd mot en form av attacker som vår brandväggslösning inte hanterar.

ModSecurity är ett utmärkt komplement, ytterligare ett lager av säkerhet för våra kunder.

När kör vi ModSecurity skarpt?

Vi har denna vecka börjat aktivera ModSecurity i skarpt läge för ett antal webbservrar hos oss. När ModSecurity aktiveras för en server så har våra drifttekniker extra koll på denna server och åtgärdar eventuella fel (felaktigt klassificerad farlig trafik) som de hittar (och får rapporter om).

Därefter aktiveras ModSecurity för ytterligare servrar, till dess att det körs i skarpt läge överallt hos oss. Vi räknar med att vara helt klara med detta inom de närmaste veckorna.

Behöver man som kund göra något särskilt med ModSecurity?

I de flesta fall, nej. Merparten av våra kunder kommer inte ens märka att deras hemsidor har blivit avsevärt mycket säkrare. Om man dock upptäcker att t ex någon funktion på en hemsida inte fungerar som vanligt så bör man meddela vår kundtjänst om detta.

Våra tekniker arbetar aktivt med ModSecurity just nu och vi har möjlighet att lösa eventuella fel som uppstår i samband med detta väldigt snabbt.

Om du har några frågor om ModSecurity, kontakta då vår kundtjänst eller lämna en kommentar här nedan.

Liknande inlägg:

Enkel checklista för en ny hemsida

Att planera, utveckla och lansera en ny hemsida är lite som att bli förälder. Oavsett hur mycket man förbereder sig så kommer man alltid, oavsett, att råka ut för något oväntat. Men precis som med barn så kan man få hjälp även med hemsidor.

Checklista för hemsidaVi har rätt bra erfarenhet av det här med hemsidor. Vi vet vad man ofta gör för misstag, missar eller glömmer bort när en ny hemsida lanseras. Så vi har tagit fram en enkel checklista för nya hemsidor, som vi vill dela med oss av här.

Checklistan är generell och gäller oavsett hur hemsidan är utvecklad. FS Data är dock ett lite extra WordPress-vänligt webbhotell, så vi har lagt in några tips om olika WordPress-tillägg i listan. Vi hoppas du får nytta av denna lista!

Enkel checklista för en ny hemsida

- Kontrollera alla texter (stavning, grammatik, form osv)

Oavsett hur mycket tid som redan har lagts på hemsidetexterna, läs allt om igen och kontrollera att all grammatik och stavning stämmer. Om du är osäker på stavningen, kör då texten genom en stavningskontroll (i ett program såsom Word eller Pages).

Tänk på att vara konkret, att tidigt på varje sida komma till poängen och att använda typsnitt, tabeller, punkter samt passande bilder för att förstärka budskapet. Använd ett naturligt och genomgående (enhetligt) språk som passar målgruppen för hemsidan.

Låt andra människor, vänner och kollegor, få läsa sidan och kommentera den. Förstår de snabbt och enkelt vad hemsidan handlar om, vilka tjänster som förmedlas och dess nytta? Förstår de hur man lägger en beställning eller kontaktar er?

- Lyft fram kontaktuppgifterna

Om man bedriver en säljande verksamhet så måste man tydligt visa upp sina kontaktuppgifter på hemsidan. Det spelar ingen roll var på hemsidan en besökare befinner sig, kontaktuppgifterna ska alltid framgå tydligt. På vår hemsida, fsdata.se, har vi t ex en meny längst ner på alla sidor med våra kontaktuppgifter.

- Kontrollera alla länkar på hemsidan

Klicka runt på länkarna på hemsidan och kontrollera att de fungerar. Det gäller både interna länkar och externa länkar (till andra hemsidor). Om hemsidan har utvecklats i en separat miljö, t ex en utvecklingsmiljö, kontrollera då att länkarna inte är hårdkodade (sökvägar) inom denna miljö.

Med WordPress-tillägget Broken Link Checker är det enkelt att hitta och rätta felaktiga länkar på en hemsida.

Men oavsett hur mycket man lagar trasiga länkar så kommer de ändå alltid att uppstå. För att hantera dem på bästa sätt, ordna en egen 404-sida (en sida som visas om en länk inte fungerar). Här är vår 404-sida: https://fsdata.se/404

- Besök hemsidan i olika webbläsare

Fungerar och ser hemsidan bra ut i Internet Explorer, Firefox, Chrome och Safari (samt Opera)? Ser det bra ut i dessa webbläsare under Windows, Mac OS X och Linux?

Att installera och testa hemsidan med alla olika kombinationer av operativsystem och webbläsare är smått omöjligt. För att få en bra överblick och förståelse för de operativ/läsare man bör kolla närmare på så kan webbtjänsten Browser Shots, som tar skärmdumpar av hemsidan i olika webbläsare, rekommenderas.

Det viktigaste är att testa hemsidan med de webbläsare som besökare av hemsidan använder. Om möjligt, utgå från tidigare statistik från hemsidan, annars kan t ex webbläsarstatistiken hos StatCounter hjälpa.

- Se till att hemsidan validerar

Det bästa sättet att få en hemsida att fungera bra i olika webbläsare är att att följa de webbstandarder som finns. Webbstandarderna definierar hur olika element på en hemsida ska se ut, hur olika funktioner ska fungera osv. Merparten av de moderna webbläsarna stödjer dessa standarder.

Om en hemsida bryter mot standarderna så kan den ladda långsamt och i värsta fall även sluta fungera. Det är enkelt att testa om en hemsida följer webbstandarderna hos World Wide Web Consortium.

- Tänk på de mobila besökarna

Glöm inte bort att testa hemsidan ordentligt i mobilen. Om man lanserar en ny hemsida nu så måste den vara responsiv och anpassa sig efter besökarnas skärmar, oavsett om de surfar med datorer, pekplattor eller mobiltelefoner.

Det finns ett antal olika tillägg som gör WordPress ”responsivt”, eller egentligen visar upp en helt annan design för mobila enheter, men det är fel väg att gå. Desto bättre att skapa/använda en riktigt responsiv design. På så sätt känner besökarna sig hemma oavsett vad de surfar med.

- Testa alla formulär på hemsidan

Fungerar kontaktformuläret som det ska? Om e-post skickas genom kontaktformuläret, kommer det fram till rätt mottagare? Om hemsidan har ett orderformulär, fungerar det ordentligt? Gör det till en vana att testa formulären på hemsidan med jämna mellanrum. Formulär som inte fungerar kan betyda förlorade kunder.

- Glöm inte bort sökmotorerna

Är alla sidor på hemsidan optimerad för sökmotorerna? Det finns ett stort antal guider till hur man SEO-optimerar sin hemsidan, en av våra favoriter är Nikke Lindqvists checklista för sökmotoroptimering. Läs den.

Kort sammanfattat så måste alla sidor ha en titel, en beskrivning och nyckelord. En sida bör innehålla 250-300 (relevanta) ord, ha en bild och använda rätt typ av rubriker (H1, H2 osv).

Men viktigast av allt: sidorna ska vara så bra att besökare själva vill länka/sprida dem. Glöm inte det.

För WordPress så kan vi rekommendera tillägget WordPress SEO. Med detta tillägg är det enkelt att optimera sin hemsida, med bl a tydliga fält för all information som krävs samt betygsättning av hur pass väl optimerad varje sida är.

- Hjälp sökmotorerna hitta rätt med en sidkarta

Även om sökmotorer är duktiga på att spindla hemsidor (att kartlägga dem via länkar) så ska man ändå ha en sidkarta. En sidkarta visar exakt vilka sidor som finns under hemsidan och hur relevanta de är (hur ofta de uppdateras), så att sökmotorerna kan återkomma med jämna mellanrum och hitta alla förändringar (t ex nya blogginlägg).

Om man använder WordPress så kan vi rekommendera BWP Google XML Sitemaps. Detta i synnerhet med WordPress i ett nätverk (Multi-site).

- Håll koll på statistiken

Se till att hålla koll på statistiken redan från början. Ju mer statistik man har, desto enklare är det att utveckla och förbättra sin hemsida. Att se vad besökarna tycker är intressant, hur besökarantalet ökar och hur blogginlägg sprids vidare är något av det roligaste som finns med att ha en egen hemsida.

Läs gärna vår tidigare guide till statistiklösningen Piwik, som är ett bra alternativ till Google Analytics där man själv äger sin data (istället för Google). För integration med WordPress rekommenderas tillägget WP-Piwik.

- Lägg upp en favicon

En underskattad detalj. De flesta som surfar på nätet använder flera samtidiga flikar i sin webbläsare. Med en favicon får er hemsida en egen ikon i den flik där hemsidan befinner sig, vilket underlättar för besökare att hitta ”rätt flik” i sin webbläsare.

En favicon är en liten bild som man lägger i hemkatalogen för sin hemsida. Därefter anger man, i hemsidans kod, att detta ska vara en favicon. För WordPress kan vi rekommendera tillägget All In One Favicon för enkel hantering/uppladdning av favicon.

- Hur snabb är hemsidan?

Det är väldigt viktigt att ha en så snabb hemsida som möjligt. Hemsidebesökare börjar tröttna om en sida tar mer än 2-3 sekunder att ladda och det finns statistik som visar att varannan besökare lämnar e-handelssidor som laddar för långsamt.

Om din hemsida är snabbare än dina branschkollegors hemsidor så har du en klar fördel både hos besökare och sökmotorer. För att turboladda din WordPress-baserade hemsida, läs vår senaste guide till en snabbare WordPress-sida.

- Är alla domännamn rätt registrerade?

Egentligen inte direkt relaterat till hemsidan, men det kan vara väldigt bra att se över sitt domännamn när man lanserar en ny hemsida. Har du bara ett domännamn? Under enbart en toppdomän (.se, .com, .nu)? Är stavningen på domännamnet självklart eller kan du registrera alternativa stavningar (och peka dessa till hemsidan)?

Om du har en IDN-domän (domännamn med tecken som å, ä och ö), glöm då inte bort att registrera domänen utan IDN (för IDN-domänen räksmörgås.se bör man t ex även registrera den vanliga domänen raksmorgas.se).

Att registrera domännamn är billigt. Att förlora besökare pga att någon annan har registrerat en liknande domän kan bli väldigt, väldigt dyrt.

- Övrigt (säkerhet, backup, skala upp, övervakning osv)

Andra saker som kan vara bra att tänka på med en ny hemsida är att hemsidan är säker (ordentligt uppdaterad, skyddad av brandvägg osv), att backup/säkerhetskopiering sker regelbundet (vissa webbhotell inkluderar detta) och att det går att växa upp i storlek om hemsidan blir väldigt populär (erbjuder din leverantör servertjänster?).

Man kan även övervaka sin hemsida, t ex via Pingdom, så att man får larm om den slutar fungera (om nedtid uppstår). Webbhotell brukar övervaka sina kundservrar och åtgärda eventuella serverfel, men det skadar inte att ha koll själv. Om hemsidan ofta slutar att fungera så kan det vara en idé att se över sitt val av webbhotell.

Så, det var vår enkla lilla checklista för en ny hemsida. :)

Har du några frågor eller funderingar kring detta? Är det något du saknar? Lämna gärna en kommentar!

Liknande inlägg:

Säkrare inloggning mot våra servrar

FS Data är ett säkert webbhotellUnder servicefönstret i december (den 3/12 från kl. 23:00) kommer vi bl a att uppgradera FTP-mjukvaran för våra webbhotellskunder (samt kunder med en server med drifttjänst). Det är en säkerhetsuppgradering, som kan vara märkbar och vi vill informera lite extra om detta.

Det som främst sker nu är att vi inför stöd för FTPS (FTP över SSL/TLS). FTPS är en metod för överföring av filer via en säker anslutning. Vi erbjuder sedan tidigare stöd för vanlig FTP och SFTP (FTP över SSH).

När man överför filer (t ex till sin hemsida) via vanlig FTP så sker överföringen i klartext. Det innebär att vem som helst, med tillgång till din datatrafik (t ex på ett öppet trådlöst nätverk), kan se vad som laddas upp/ner och de användaruppgifter som används. FTP är väldigt, väldigt osäkert.

Vi rekommenderar alltid att man använder SFTP för säkra filöverföringar. Med det har historiskt sett krävt att man som kund aktiverar SSH-inloggning via vår kontrollpanel och ansluter via alternativ adress/port i sitt FTP-program (detta ändras nu).

Med uppgraderingen av FTP-mjukvaran under vårt servicefönster kommer detta ske:

- SFTP kan användas direkt utan aktivering/ändringar i kontrollpanel/FTP-program.
- FTPS får vi nu fullt stöd för (explicit via SSL/TLS), utan aktivering/ändringar.
- Även SCP och RSYNC (över SSH) fungerar omedelbart.

Det enda man som kund behöver göra, efter detta servicefönster, för att överföra filer säkert till våra servrar är att ändra anslutningsmetod i sitt FTP-program. Byt från FTP till SFTP eller FTPS. Vad man väljer av SFTP eller FTPS spelar mindre roll, så länge man inte använder FTP.

Om man använder SFTP/SSH/SCP/RSYNC hos oss sedan tidigare, notera då följande:

- Under servicefönstret kommer alla SSH-nycklar att ersättas av mer säkra nycklar (2048-bitar).
- Om nyckelvarning uppstår i din klient, ta då bort den tidigare nyckeln och ersätt med den nya.

Man kommer fortsatt kunna välja login-skal/shell (bash, tcsh, zsh och ksh) via vår kontrollpanel, under ”Ditt konto” > ”Login-skal”. Alternativet ”Inget skal – SSH inaktiverat” är fortfarande standard, men under ytan har detta alternativ ändrats för att möjliggöra FTPS/SCP/RSYNC.

Lämna gärna en kommentar här nedan om du har några frågor om detta.

Liknande inlägg:

Så felsöker man tillägg i WordPress

WordPress är i grund och botten ett väldigt enkelt system. Det går att göra mycket från start, men det är först när man börjar anpassar WordPress med tillägg som dess verkliga styrka framträder. Inget är, i princip, omöjligt att lösa med olika tillägg i WordPress.

Att installera tillägg i WordPress är enkelt. Ja, det är så enkelt att man lätt glömmer bort att man har installerat vissa tillägg. Det kan få rätt så dåliga konsekvenser (läs: resultera i en hackad hemsida) om man inte ser till att hålla tilläggen ordentligt uppdaterade.

Men även om man uppdaterar sina tillägg i WordPress så kan man stöta på problem. Det är rätt vanligt att en hemsida som har fungerat bra och varit snabb helt plötsligt börjar bete sig konstigt och går långsamt. Många gånger beror det på fel i ett tillägg (eller att två tillägg krockar).

Vi tänkte därför visa ett enkelt sätt att felsöka tillägg i WordPress.

1. Logga in i wp-admin på din WordPress-webbplats och gå in under ”Tillägg” > ”Lägg till nytt”. Där söker du efter ”P3″ och installerar/aktiverar sedan P3 (Plugin Performance Profiler).

2. När tillägget är aktiverat, gå under ”Verktyg” > ”P3 Plugin Profiler”. Börja med att klicka på länken/knappen ”Start Scan”, välj ”Auto Scan” och vänta en stund medan kontrollen utförs. Klicka på ”View Results” när kontrollen är klar.

3. Nu visas information om hur många tillägg man har på sin webbplats och hur mycket dessa tillägg bidrar till laddningstiden. Mitt på sidan framgår tydligt exakt vilka tillägg det är som orsakar mest laddningstid.

Här är ett exempel:

P3 Profiler

Här kan vi se att tillägget ”WordPress Beta Tester” står för hälften av laddningstiden på denna webbplats. Nu laddar denna sida väldigt snabbt (den är optimerad enligt vår guide till en snabbare WordPress-sida), men om så inte vore fallet så hade vi inaktiverat (och tagit bort) detta tillägg.

Det är värt att poängtera att det inte räcker med att inaktivera tillägget. Man behöver även ta bort det ordentligt. Annars kan det ligga kvar och fortsätta orsaka problem. En bra regel, vad gäller tillägg i WordPress, är att aldrig ha några inaktiva tillägg installerade.

Vad gör man om det är ett viktigt tillägg som orsakar problem? Det enklaste är att försöka hitta ett alternativt tillägg, som erbjuder samma/snarlik funktioner. Man kan även felanmäla tillägget i WordPress Plugin Directory. Sök efter tillägget där, besök dess sida, gå in under fliken ”Support” och skapa ett inlägg (kontrollera först att det inte finns fler liknande inlägg).

4. Kontrollera gärna övriga flikar under ”Verktyg” > ”P3 Plugin Profiler”. Under ”Detailed Breakdown” kan man se exakt laddningstid för alla installerade tillägg. Under fliken ”Advanced Metrics” kan man t ex se den totala laddningstiden samt dess fördelning mellan Core (själva WordPress), teman och tillägg.

Det här är ett enkelt sätt att felsöka tillägg i WordPress. Det finns givetvis fler sätt att göra detta på, såsom att använda WP_DEBUG, men P3 (Plugin Performance Profiler) är onekligen en av de enklaste metoderna.

Lämna gärna en kommentar här nedan om du har några frågor, om detta tips har hjälpt dig eller om du har några andra tips på felsökning av tillägg.

Liknande inlägg: