Category Archives: Integritet

Id-kapning ska ÄNTLIGEN bli olagligt

Id-kapning ska ÄNTLIGEN bli olagligt

Från och med i sommar ska det bli straffbart med ID-kapning i Sverige. Att till exempel köpa varor eller lägga upp information på Internet i någon annans namn blir enligt förslaget straffbart med upp till två års fängelse från och med den 1 juli. Brottsrubriceringen kommer att kallas ”olovlig identitetsanvändning”. 

Man kan självklart ifrågasätta hur det har kunnat vara lagligt hittills, men man får kanske vara glad att lagstiftningen inte halkar ännu längre efter verkligheten än den gör. Den digitala utvecklingen går fort, men ett lagförslag som detta hade jag hoppats få se tidigare.

”Men vi går något längre än vad utredningen sa, för om man gör på det här sättet, alltså kapar identiteten på nätet och gör det upprepade gånger mot samma person, så kommer man också kunna dömas för olaga förföljelse. Det fanns inte med i utredningen från början och gör att vi får en ännu starkare kriminalisering” säger Morgan Johansson till SR Ekot.

Tolkar jag Morgan Johansson rätt så kommer faktiskt så kallade facerapes att kunna bli olagliga i sommar. Straffbart med upp till två års fängelse. Så akta er.

 

alltidonline

17-åring stäms på halv miljon för civilkurage

Erik, 17, dömdes för att ha försökt säkra kommunens it-system

Det är svårt att inte häpna inför sånt här. När stora IT-företag idag belönar utomstående som hittar och rapporterar svagheter i deras system, så väljer Umeå kommun att anmäla en 17-årig pojke som tagit sig in i kommunala system just i avsikt att göra ansvariga uppmärksamma på hur illa säkrade lösenordsdatabaserna var. (Om det nu är så det var, vi var ju faktiskt inte där.)

Erik dömdes till 35 timmars samhällstjänst, vilket han själv tycker är rimligt, eftersom han formellt sett bröt mot lagen. Det har han också gjort, det är inte lagligt att ta sig in någonstans bara för att det går eller är enkelt, även om syftet är att visa hur dåligt låset är.

Men att polisen genomför tre husrannsakningar och anhåller Erik – i lagens ögon fortfarande ett barn – i ett helt dygn utan att han får prata med sina föräldrar, det låter som en väldigt hård reaktion. Att Umeå kommun dessutom säkrar upp sina databaser en smula och därefter börjar processa efter en halv miljon i skadestånd – jag tycker att det skorrar illa.

Det enda sättet att testa hur säkert ett system är, är att försöka ta sig in. Penetrationstester ska vara sanktionerade och beställda, men när en myndighet inte reagerar på missförhållanden är det inte mycket man kan göra än att försöka få deras uppmärksamhet på annat sätt – eller att snällt vänta på att någon stjäl ens användaruppgifter.

Eftersom målet var att avslöja missförhållanden skulle Eriks hackning kunna jämställas med visselblåsning. Det brukar allmänt anses vara en moraliskt riktig handling. Visselblåsning är inte lagskyddat som sådant, men den som avslöjar missförhållanden för en journalist skyddas av det lagstadgade källskyddet. Erik satt nog inte på ett scoop stort nog för att kunna läcka till en journalist, men kanske borde samhället ändå se till det moraliskt riktiga i en handling istället för att straffa så fort det finns laglig möjlighet? Personligen föredrar jag den hållningen, särskilt när det rör sig om ungdomar. Då är dessutom höga skadestånd extra skadliga, effekterna sitter kvar under många år.

Man kan jämföra med en av januaris mer intressanta nyheter om att det kan vara dataintrång att installera program själv på jobbdatorn, beroende på vad Högsta domstolen kommer fram till. (Marcus Jerräng kommenterar problemen med den frågan bra.)

Myndigheter ska behandla personuppgifter på ett så säkert sätt som möjligt och en nivå på de tekniska lösningarna borde vara garanterad. Brister måste uppmärksammas. Kan vi enas om det?

Så spåras din telefon – av Västerås…

I fredags kunde skrev DN att ”Datainspektionen ska granska övervakning via mobilen”. Rubriken får det att låta större än det är eftersom det handlar om ett väldigt specifikt fall, men det är bra att de prövar frågor som denna vad som än följden blir.

Fallet rör det svenska företaget Bumbee Labs som med sin teknik IOPS hjälper kunder att kunna planera sin verksamhet bättre genom spåra mobiltelefoner för att följa människors rörelsemönster.

Hur går det till? Om din telefon har WiFi påslaget sänder den ut ett unikt identifikationsnummer, telefonens MAC-adress. Den är unik och konstant för varje telefon, till skillnad från till exempel IP-adresser. Tekniken identifierar en telefon utifrån MAC-adressen, vilket har gjort vissa nervösa, men Bumbee lugnar skeptiker med att man bara skapar en hashvärde och sedan raderar MAC-adressen. På så sätt kan man inte avgöra vems telefon det är man följer, menar de. I iOS8 har Apple även valt att slumpa MAC-adresser när enheten letar efter nätverk.

System som de här har använts ett tag. Till exempel för butiksägare är det intressant att veta hur folk rör sig i butiken. Tar de höger eller vänstervarv? Hur många stannar framför en viss display? Tar de genvägar och går direkt till mejeridisken eller underkläderna?

Nu har turen kommit till stadsplanerare. Västerås är enligt DN den första stad som testar IOPS för att kunna se hur människor rör sig i olika områden. Målet är förstås att kunna planera service och i längden att spara pengar och göra livet enklare för alla som bor där. Kartlagt rörelser har man alltid gjort för att kunna planera, men genom att ställa dit en person som räknar hur många som passerar eller rör sig i ett område. Ny teknik gör det billigare och enklare och framför allt praktiskt möjligt att få data från hela dygnet.

Det här är en fråga med många spår och följdfrågor. Det lär bli mer av den här typen av spårning framöver. Vi behöver absolut ta ställning till om vi tycker att det är okej. Till saken hör att vi redan är övervakade i precis allt vi gör genom datalagringsdirektivet och flera andra lagar, för att inte tala om Google och Facebooks insamling av våra användardata. Man kan också fråga sig vad skillnaden är mellan att bli spårad när man handlar i en fysisk butik jämfört med på nätet, där konsumenternas rörelsemönster stöts, blöts och analyseras i extrem detalj.

Bumbee anonymiserar data och är (antagligen) ointresserade av enskilda individers förehavanden. Man kan dock inte ha regelverk som utgår från att aktörer av olika slag är välvilliga. Det är billigt att sätta upp små sändare eller falska trådlösa nätverk av det här slaget och det är inte svårt att samla data från olika källor, samköra, korsbefrukta och enkelt ta reda på information om människor för att passa direkt ohederliga syften.

Tycker du inte att det känns okej att din telefon läcker unika identifikationsnummer till alla öppna nätverk du passerar finns det en väldigt enkel åtgärd – stäng av WiFi och tjänster som Bluetooth när du inte använder dem. Det är säkrare, håller dig anonym och sparar batteri.

Anonymitet – upplevelser och verklighet

Anonymitet på nätet i olika former är en allt större nisch. Vi ser olika typer av produkter växa fram, med olika tankar bakom dem, olika målgrupper, och de marknadsförs på olika sätt.

Det finns tydliga oklarheter om vad de olika tjänsterna faktiskt gör, vilket Runa A Sandvik höll ett intressant föredrag om på säkerhetskonferensen Next Generation Threats förra veckan. Hon använder Tor för att vara anonym på nätet, men alla lösningar är inte av den kalibern.

Det finns saker att tänka på när du shoppar runt bland kommunikationsapparna, för det dyker upp mycket om innehållsförteckningen kan vara sådär.

Vi ser tjänster som Snapchat, som anspelar på säkerhet på ett eller annat sätt. Där kan användaren lockas att skicka material som inte skulle ska skickats i andra kanaler. Snapchat är dock inte säkrare, åtminstone inte för det man vill åstadkomma. Litar du inte på att någon ska radera en bild, skicka den inte alls. Som vanlig meddelandeapp är den dock helt okej. Dessutom har tjänsten råkat ut för spam på sistone.

Det finns också en hel del appar som krypterar kommunikation, så att ingen (nja…) utöver mottagaren kan ta del av meddelandet, till exempel svenska Hemlis. Här hittar vi tjänster som någonstans står bakom en demokratisk rättighet att kommunicera fritt utan att myndigheter kan lyssna. För de med andra åsikter är de bara verktyg för knarklangare och terrorister. Det är här innehållsförteckningen kan brista. Du vet inte om krypteringen håller måtte, om eller var dina data lagras, eller vad som skulle hända om en domstol begärde ut kommunikation eller loggar.

Ett exempel på en ny app med en annan aspekt av anonymitet som huvudidé är tjänsten Secret, som låter användaren skicka meddelanden helt anonymt till alla i sin telefonbok som också har appen. Det är kittlande med hemligheter och tjänsten är säkert en ventil för många. Samtidigt kommer rapporter från verkligheten visar tyvärr att den används i mobbingsyfte bland ungdomar och i skolor.

Tjänster för anonymitet på nätet handlar grovt förenklat oftast om tre saker: anonymitet gentemot myndigheter och annan avlyssning, anonymitet gentemot annonsörer och kommersiella intressen, och anonymitet gentemot dem man kommunicerar mot. Alla med sina egna inneboende egenheter, fördelar och problem.

Gentemot myndigheter visar det sig vara svårt att vara anonym, eftersom tjänsteleverantören i de flesta fall kommer att lämna ut dina meddelanden om en domstol kräver det.

Gentemot annonsörer är det enklare att dölja sina förehavanden och det går att göra friktionsfritt. En liten nackdel är att man får illa riktad reklam, vilket eventuellt kan vara ännu mer irriterande än reklam man kan tänkas nappa på. En annan är förstås att man går runt nätföretagens affärsmodell.

När det gäller anonymitet mot människor man känner är invändningarna enbart etiska och moraliska –  vi vet vad människor brukar göra när sådana möjligheter finns.

När tjänsterna blir fler och fler, när användaruppgifter stjäls och när informationen visar sig vara mindre säker än man hoppats på, då kommer det att bli tydligt hur lite allmänheten faktiskt förstår om anonymitet, kryptering och möjligheterna att kommunicera fritt.

 

 

Varför väljer vi inte digitalt?

Kanske reagerade någon på den 1800-talsmässiga linjal som används som verktyg för att bocka av väljare från den lika 1800-talsmässiga röstlängden i papper i EU-valet härförleden. Varför röstar vi inte hemma, till exempel med e-legitimation? Det skulle ju kännas modernt?

vallokal

Jo: Det är praktiskt taget omöjligt att skapa ett helt säkert system, oavsett vad det ska användas till. Att ta fram stora, offentliga, i det här fallet till och med nationella, system, som ska hantera miljontals användare, är dessutom mycket svårt (åtminstone om man ska tro nyhetsrapporteringen).

Många människor lever dessutom än idag helt analoga liv, vilket gör ett digitalt system uteslutande. Kanske kan vi leva med att vissa saknar möjligheten att gå in på ett postkontor eller göra fysiska bankärenden, men att vissa skulle dra sig för att rösta för att de inte förstår processen är värre.

Varför röstar vi då inte elektroniskt? Jag ser följande risker.  

  • Valfusk
    I ett val är det väldigt illa om någon lyckas påverka resultatet. Elektroniska val skulle av vissa kunna ses som mycket säkrare än dagens, men personligen ser jag en risk i att någon lyckas påverka resultatet på ett sätt som är närmast omöjligt att spåra. Dagens transparens gör att alla kan se hur processen går till.
  • Valhemligheten
    I en demokrati är det jätteviktigt att valhemligheten bevaras. Väljer du elektroniskt måste din röst kopplas till bekräftandet av din identitet på något sätt. Det innebär en tydlig risk. Med papper i kuvert dör spåren till dig så fort kuvertet släpps ner i lådan.
  • Storebror
    Nästan samma sak som invändningen om valhemligheten, men med andra skosnören. Möjligheten att kartlägga väljare blir en potentiell risk. En elektronisk överföring av information lämnar spår, det är fullt möjligt att någon, någon gång, skulle använda dessa spår för att samla information om medborgare.
  • Tvång
    Med ett elektroniskt valsystem är det plötsligt möjligt att tvinga någon att rösta som de vill, eftersom vi då skulle kunna göra det från hemmet. Man kan med våld, hot eller socialt tryck påverka hur andra röstar, eftersom de plötsligt kan övervaka processen. Det blir också ännu enklare att sälja sin röst och för köparen att kontrollera vad han får.

Jag skulle väldigt gärna se att det gick att välja elektroniskt, om inte annat skulle det kunna underlätta rösträkning och spara pengar, men punkterna ovan gör det lätt att argumentera emot. Erfarenheter från USA med elektroniska röstningsmaskiner göra mig också tveksam – kanske kommer ni ihåg debaclet i Florida när George W. Bush valdes till president för andra gången.

Nu då, kan man manipulera valsystemet idag? Visst. Det vanligaste sättet att påverka ett val är genom social ingenjörskonst. Genom olika typer av löften och argument manipulerar man väljarna att rösta för ett visst parti.

Men skämt åsido så dyker det då och då upp fall av valfusk i Sverige. Då handlar det ofta om att en överambitiös lokalpolitiker ombudsröstar åt till exempel äldre, och då kan tänkas rösta för sitt eget parti. Att någon i någon större omfattning skulle manipulera valresultatet i svenska val skulle vara svårt, helt enkelt för att systemet är ganska säkert. Till exempel räknas rösterna flera gånger och det är öppet att gå och se hur det går till för allmänheten. Processen är helt enkelt genomskinlig på ett sätt som skulle vara nästan omöjligt att åstadkomma om valen skedde elektroniskt.

Lexbase – lite tankar

Jag är en sån där människa som tycker att offentlighetsprincipen är en mycket bra princip. Jag vill leva i ett samhälle där vi har och ger varandra insyn. Viktig information om medborgare ska vara öppen och tillgänglig och information om myndighetsbeslut offentlig verksamhet också. Maktutövandet ska vara genomskinligt.

Lexbase_screen

Trots det kan jag komma med några invändningar mot Lexbase verksamhet.

  1. Ett privat företag tjänar pengar på vår egen nyfikenhet efter sliskiga detaljer. Folk har inte ”rätt att veta”, vilket är den vanliga existensmotiveringen från företag som Lexbase och Ratsit med flera. Man har rätt att ta reda på.
  2. Frågan om människors brottsregister är en komplex och känslig fråga. Vilken rättshaverist som helst har alltid kunnat begära ut domar om folk, men principen är att man efter avtjänat straff ska kunna gå vidare i livet. Det tycker också de flesta, vilket inte minst de senaste årens debatt om Tomas Quick och Göran Lambertz gjort tydligt.
  3. Vi ser endast domar avkunnade under de senaste fem åren, vilket innebär att många grova brott, som faktiskt kanske skulle kunna vara mer relevanta att känna till, hamnar under radarn. Trenden att arbetsgivare begär utdrag ur brottsregister har vuxit under de senaste åren och fått kritik från många håll, frågan om vem som ska bry sig om andras förehavanden och när är viktig.
  4. Det går att se vilka som är lagförda helt gratis, men man måste betala för detaljer. Briljant affärsstrategi, men många kommer att misstänkliggöras utan folk känner till omständigheterna.

Stormen rasar om Lexbase samtidigt som servrarna har varit överbelastade sedan lanseringen. Vi är moraliskt indignerade, men kollar upp våra grannar med andra handen.

Det finns en besläktad fråga om offentliga uppgifter och privata företag – flera myndigheter säljer medborgarnas personuppgifter, det rör sig om Bolagsverket, Tranportstyrelsen och Skatteverket. Det är enligt mig något de inte borde göra, även om uppgifterna är offentliga. Varför ska offentliga uppgifter säljas i kommersiellt syfte? Skillnaderna i fallet Lexbase är att uppgifterna inte säljs av myndigheter utan begärs ut.

Lagen

Ett annat aktuellt fall är kvinnan i Kalmar som begärde ut tusentals handlingar och tog flera heltidstjänster på Kalmar kommun i anspråk genom att utnyttja/missbruka sina medborgerliga rättigheter. Bland annat begärde hon ut alla handlingar diarieförda under 2013. Kommunen har nu tröttnat och blockerar kvinnans mejl och välkomnar en rättslig prövning. Vem har moraliskt rätt och vem har juridiskt rätt?

Följer man medieflödet så är det tydligt att de flesta tycker att Lexbase affärsidé är omoralisk, även om den inte bryter mot någon lag. Man jobbar helt utan hänsyn till konsekvenserna för enskilda, vilket går stick i stäv med hur vi i övrigt anser att företag ska handla, med hänsyn till och ansvar för omvärlden. 

Varför är DU en hackermåltavla?

Efter Prism och övervakningsskandalen i USA har diskussionerna kring datorintegritet gått varma. En vanlig reaktion från många har varit ”Jag har ingenting att dölja”.

Den här inställningen möts jag ofta av när det gäller datorsäkerhet. Många privatanvändare känner helt enkelt att deras digitala närvaro inte har någon betydelse för cyberbrottslingar och att de därför inte borde vara av något intresse för hackare. Tyvärr är den här inställningen är farlig eftersom den innebär en falsk trygghetskänsla och ofta negligerande av de egna IT-säkerhetsvanorna.

Du behöver inte vara miljonär eller toppolitiker för att vara en måltavla för cyberskurken. I princip är varje dator eller annan digital enhet ett attraktivt mål för en hacker. Eurosecure har gjort en inventering av all information som vanligtvis finns på en dator och det är det som gör den till en måltavla för cyberkriminella. Och det handlar inte alltid nödvändigtvis om pengar.

Bland dessa finns:

Privata bilder – Olaga spridning/användning i falska konton.

Konto- och inloggningsinformation till olika onlinetjänster – stulna sociala mediekonton, e-poståtkomst, identitetsstöld, åtkomst till känslig information osv.

Anhöriginformation – genom dig hitta känslig information om din familj eller dina vänner för att i sin tur även kunna utsätta dem för en attack.

Bankinformation – stulen kreditkortsinformation, hackat bankkonto osv.

Fjärrstyrningsmöjligheter – uthyrning av din dator till zombinätvärk för spridning av skadlig kod, eller riktade attacker.

 

 

Infographic2_annat teckensnitt

Vanliga frågor om Prism och övervakning

Nyhetsflödet den senaste tiden har kretsat kring avslöjandet att den amerikanska regeringen ska ha lekt ”storebror ser dig” på Internet genom att använda ett övervakningsprogram kallat Prism. Jag har fått en hel del frågor kring Prism, hur det påverkar oss och vad det är för något. I vårt senaste avsnitt av Säkerhetsradion pratar vi mer om ämnet och nedan besvarar jag de vanligaste frågorna jag har fått:

 

Vad är Prism?

Prism är ett övervakningsprogram som drivs av NSA och påstås ha tillgång till information från flera stora aktörer på Internet, till exempel Facebook, Apple, Skype och Google. Det sägs ha funnits sedan 2007 och infördes av George W Bush, för att sedan förnyas av sittande president Obama under 2012.

 

Borde vi ha inställningen att allt på Internet är offentligt?

Om du använder sociala medier så bör du vara medveten om att tjänsten lagrar din information och att företaget kan komma åt den och, om de vill, lämna ut den till berörd regering. Så ja, ha inställningen att allt du säger och gör på nätet alltid går att hitta.

 

Hur kan det här påverka mig som privatperson?

Det beror förstås på vem du är och vad du gör. Är du till exempel vän med en brottsmisstänkt person eller gillar ”fel” saker påverkas ditt ”rykte” i Prism-systemet. Dock borde personer i Sverige inte märka av det alls. Det är däremot inte otänkbart att en svensk skulle kunna stoppas från att resa till USA efter att ha blivit scannad av Prism.

 

Hur kan den här typen av övervakning påverka företag, organisationer och samhället?

Det är till exempel relativt vanligt att företag och myndigheter använder Google-mail. Den som har ett konto eller en server i ett annat land, eller använder en tjänst baserad i ett annat land, bör anta att andra länder har tillgång till dessa tjänster.

 

Hur skiljer sig det här övervakningssystemet från det vi har i Sverige (FRA)?

FRA har ganska specifika regler som säger att inget ska riktas mot medborgares aktiviteter i Sverige. Däremot kan det vara svårt att definiera vad som menas där, då e-post ofta använder en tjänst som studsar mot något i utlandet. Men generellt ska FRA inte användas mot trafik inom landet. Samtidigt säger ryktet att Prism har använts både inom landets gränser, men också utanför dem.

Location, location, location

Nu finns det enligt uppgift fem miljoner svenska Facebookkonton, man skulle kunna säga att det är ett ganska bra genomslag för en tjänsteleverantör. En andel av kontona är förstås falska och ett antal är säkert inaktiva, men en betydande del, kanske en majoritet av Sveriges befolkning, finns idag på Facebook. Det är signifikant och frågan är om det är en kulmen vi ser.

Facebooks genomslag för med sig flera intressanta frågor, bland annat den om geografin. Tjänster, molnlagring och e-post, allt som lägger data som tillhör dig på servrar du inte riktigt vet var de finns, kan potentiellt innebära problem eller i alla fall juridiskt kluriga situationer. Dels kan man inte vara helt säker på att regering och säkerhetstjänst som styr i landet där servrarna finns tycker att din integritet är deras viktigaste hänsyn. Och bryr de sig om avtalen du har med leverantören? Dessutom, vilken lagstiftning gäller? Och ska du behöva hålla koll på det själv? Klurigt, helt klart.

Ett annat problem (?) är att Internet är globalt och att företag med säte i ett land lyder under det landets lagar. Det gör det svårare för exempelvis svensk polis att få tag i uppgifter som behövs i en utredning. Det går naturligtvis att begära ut uppgifterna om man har beslut från domstol eller åklagare och i många fall behövs domstolsbeslut i landet där företaget har sitt säte. Det är mycket pappersexercis, vilket det bör vara för att skydda just vår integritet.

Computer Sweden skrev för ett tag sen om Polisens tankar om att eventuellt nu har lite bättre chanser att få fram IP-adresser som hjälper dem att hitta brottslingar i tid, dvs. innan internetleverantörerna raderar informationen som datalagringsdirektivet kräver att de lagrar, vilket oftast sker efter minimitiden sex månader. Då ska man tänka på att informationen fram till nyligen inte lagrades alls.

Mega-krypteringen – SSL och molnsäkerhet

I helgen lanserades Kim Dotcoms nya fillagringstjänst (eller fildelningstjänst, beroende på vem man frågar) Mega, drygt ett år efter att hans tidigare tjänst Megaupload togs ner av amerikanska myndigheter.

Mega har fått mycket uppmärksamhet, framförallt för att den anses vara en tjänst som gör det omöjligt att åka ditt för illegal fildelning. Alla filer och även själva datatrafiken krypteras i den nya tjänsten. Jag vill inte gå in i diskussionen om själva fildelningen, istället tycker jag att det här är ett intressant utgångsläge för molnlagring överhuvudtaget.  Man kan utgå från att vi kommer att få se fler kryptering i samband med molnlagringstjänster som på ett eller annat sätt följer Megas exempel. Därför är det spännande att följa diskussionen om säkerhetsfrågorna kring Mega, för att förhoppningsvis tvinga fler tillverkare att ha så kallad ”zero-knowledge” om den data som lagras.

Mega får kritik från olika håll. Framförallt kritiseras SSL-krypteringen, eller deras sätt att implementera SSL. För alla som är intresserade av de tekniska detaljerna så har Fail0verflow en bra förklaring här.

Rent kort så är det så att vissa filer hämtas från Megas servrar med ”stark” kryptering/autentisering (2048-bitars RSA i SSL-cert), medan vissa andra statiska filer (javaskript, bilder, CSS) hämtas från olika distribuerade servrar (CDN), fast med enklare algoritmer (1024-bitars RSA, MD5-sign). Mega använder javaskript för att verifiera att filerna som hämtas från deras CDN med ”enklare kryptering” inte har modifierats. Detta för att förhindra att hackade servrar, eller påtvingade ändringar från myndigheter, kan användas för att ladda kod i webbläsaren, så de kan få reda på användares lösenord eller krypteringsnycklar.

Spideroak Security har även en bra teknisk förklaring om hur Megas koder för nyckelgenerering och autentisering fungerar samt en rekommendation om hur man skulle kunna förbättra svagheterna. Spideroak har förresten själva en zero-knowledge-fillagring, precis som Mega, där de själva inte har tillgång till filerna. Det verkar förresten dessutom som att Mega redan har förbättrat hash-funktionerna.

Generellt tror, och främst hoppas, jag att det här är något bra som vi nog snart får se i mindre kontroversiella tjänster som Facebook eller Gmail. Inte att de inte har tillgång till din data alltså.. det kommer de alltid ha ett grepp om. Men, just att försöka verifiera att ingen laddar in extra kod i webbläsaren. På så sätt kan fall som detta förhindras, där en man-in-the-middle-attack ledde till att Facebook-, Gmail- och Yahooanvändare blev av med sina inloggningsuppgifter för att ett land valde att spionera på sina innevånare.