Startsidan på Uppsala universitets webbplats kräver ingen säker anslutning av sina besökare. Det menar it-säkerhetsexperten Karl Emil Nikka, som har gjort en jämförelse mellan 35 svenska högskolors och universitets hemsidor. Uppsala universitet är i den jämförelsen ett av de sämsta högre lärosätena i landet.
Läs mer: Så ser du om en webbplats är säker
Karl Emil Nikka lyfter fram skillnaden mellan de lärosäten som på sina hemsidor använder HTTP-anslutningar och de som kräver HTTPS-anslutningar av sina användare. De snarlika förkortningarna värderas ur it-säkerhetssynpunkt helt olika. HTTP (Hypertext transfer protocol) ger en osäker anslutning medan HTTPS (Hypertext transfer protocol secure) ger en säker anslutning.
Efter att Karl Emil Nikka för ett år sedan gjorde en liknande jämförelse har åtta av de lärosäten som tidigare inte krävde säkra anslutningar nu börjat göra det. Men inte Uppsala universitet.
– De har säkra anslutningar på de delar av hemsidan där studenter och medarbetare ska logga in. Det är bra, men det räcker inte, säger Karl Emil Nikka.
Enligt honom är nämligen skadan redan skedd genom att universitetets startsida har en HTTP-anslutning.
– Om du är på en osäker startsida och klickar på en länk för att logga in kan det hända att du kommer vidare till en falsk inloggningssida, säger Karl Emil Nikka.
Han beskriver hur bedragare genom en falsk sida – som är en kopia av den riktiga sidan – kan komma åt användares inloggningsuppgifter. De kan enligt honom sedan användas för att kapa mejladresser och i förlängningen exempelvis sociala medier-konton:
– Om kapare kommer över e-postkonton kan de sedan återställa lösenorden till alla möjliga andra konton.
Karl Emil Nikka framhåller att den bristande säkerheten innebär att it-bedragare kan rikta attacker mot enstaka användare, men inte mot samtliga besökare på webbplatsen. Från Uppsala universitets håll tvivlar man emellertid på hela det scenario han beskriver.
– Jag tror inte att det kan hända – det låter inte sannolikt. För att skapa en falsk inloggningssida måste man vara inloggad som redaktör i vårt system säger Regina Ledung, förvaltningskoordinator vid universitetets it-avdelning.
Varför har ni inte en säker anslutning till hela hemsidan?
– Vi har inte haft tid att ordna det än. Men det är på gång och ska ske senare i år.
Varför har det inte skett tidigare?
– Det har varit mycket förberedelsearbete. Att vi inte har hunnit än är för att vi vill göra det rätt.
När Karl Emil Nikka får höra att universitetet inte anser att användarna av deras hemsida riskerar exempelvis kontokapning upprepar han sin varning:
– Deras webbplats är inte säker. De borde skämmas lite.