Ved hjelp av åpen kildekode, litt bistand fra en nerd i et annet land, prøving og feiling har vi fått laget en interaktiv og søkbar oversikt over status for HTTPS-bruk for nesten 10 000 domener eid av offentlige etater i Norge.
make update_httpsjetzt
og
make publish
De to kommandoene er alt som skal til for å skanne 11 926 domener på nytt, bearbeide dataene og bygge den interaktive oversikten som ei nettside med ferske opplysninger.
Dermed kan vi på NRKbeta vise fram hele bakgrunnen for journalistikken rundt sikre tilkoblinger for nettsteder til innbyggerne.
I månedsskiftet mars/april lagde nrk.no flere saker om nettsikkerhet. Fokuset var HTTPS-bruk på nettsteder drevet av det offentlige i Norge.
Sakene hadde noen eksempler på nettsteder som manglet HTTPS, og noen eksempler på dårlig oppsatt eller vedlikeholdt HTTPS. Noe som kunne ha innvirkning på sikkerheten for nettbrukere.
Bak sakene lå en gjennomgang av 11 926 domener eid av offentlige etater og virksomheter. Den store mengden informasjon ble dog bare vist fram som tall og grafer i sakene.
Se gjerne også noen av nyhetssakene:
- Over 50 nettsteder fikset etter NRK-saker
- Usikkert nett – lav andel HTTPS-bruk
- Ba om bombetips på sårbar nettside
Fin løsning laget for å følge opp Det hvite hus-krav
Men samtidig som vi jobbet med innspurten for nyhetssakene om HTTPS-bruk i forrige runde kom vi over hvordan ståa var i USA.
I USA har Det hvite hus bestemt at alle føderale nettsteder skal ha HTTPS-tilkobling innen utgangen av 2016.
For å følge opp hvor langt unna man er å oppfylle dette kravet for nettsteder med .gov-adresse lagde derfor det interne konsulentkontoret 18F en lur liten løsning. Løsningene domain-scan og pulse henter først inn data ved hjelp av ulike skanningsteknikker for så å vise dem fram i en forståelig form på ei interaktiv nettside ( the pulse of the federal .gov webspace ).
Åpen kildekode
Journalisten som lagde sakene om HTTPS-bruk i det offentlige er ikke utvikler og har ingen utdannelse eller spesielle kurs i koding. Likevel er interessen der for det tekniske.
Så da vi oppdaget at hele løsningen som amerikanerne brukte lå ute på Github meldte nysgjerrigheten seg: Kan dette også lages for Norge uten altfor mye jobb?
Det ble sendt av gårde en e-post til en av de amerikanske utviklerne:
As I see the Pulse solution are built entirely in the open I started considering to make a clone to track the Norwegian government sites. How much code would have to be changed if I try it as an experiment?
Svaret var at det nok kunne være litt jobb, men at det skulle la seg gjøre. For han visste at en tysker hadde laget en versjon for Tyskland.
Hjelpen fra Tyskland
Vi tok derfor en titt på den tyske versjonen – https.jetzt! Et navn som rett og slett oversatt til norsk betyr https.nå!
Og som den observante leser kan ha lagt merke til helt i toppen av denne saken, ligger fortsatt det tyske ordet jetzt igjen i kommandoen vi kjører for å oppdatere vår egen oversikt.
Den tyske utgaven viste seg å være mer rendyrket i den retningen vi var ute etter. Dermed valgte vi å lage en klone eller fork som det visst heter i programmeringsverdenen.
Etter en liten stund stod vi dog fast med en del uforståelige feilmeldinger.
Mannen bak den tyske utgaven, Maximilian Richt / @robbi5, var veldig hyggelig og hjelpsom på e-post. Så med litt hjelp til å komme over en del mystiske feilmeldinger var vi på god vei igjen.
Til tross en del kunnskapshull har vi klart å lage en norsk versjon ved å tilpasse våre datasett noe og tilpasse koden for løsningen noe.
Å lage denne oversikten hadde ikke vært mulig uten den åpne kildekoden lagt ut på nettet av 18F/GSA og @robbi5, eller hyggelige mennesker som orker svare på noen spørsmål på e-post.
Derfor velger vi selv å åpent legge ut både vår versjon av koden og domenelisten som et datasett:
NRK jobber med innføring av sikker, kryptert tilkobling over HTTPS for våre nettjenester. I dag er det HTTPS på tv.nrk.no, radio.nrk.no, nye yr.no, nrkbeta.no og nrk.no/03030. Det pågår et aktivt arbeid for å innføre teknologien også for resten av nettstedet.
Under ser dere siste status basert på våre skanninger
(det må her bemerkes at det er litt forskjell i denne sjekken fra den forrige – siden denne skanneren blant annet aktivt sjekker domenene både med og uten www foran):