Google Analytics hadde problemer med oppetid her om dagen. De var rett og slett nede, utilgjengelig. Se kommentarer på nettet, såsom blogg-innlegget ouch…is something wrong with my analytics or the internet or something this morning? OK, så GA er gratis, er de nede så er de nede, men det er mer alvorlig enn som så, og det er en indikator på hva lite bevisst sikkerhet på nettet kan føre til.
Grunnen til at mange nettsteder var nede var at de hadde lagt inn kode for Google Analytics uten tanke på hvorfor og hvordan. Til og med banker i Norge har og har hatt script som kommer fra gratis tjenester inne på sine nettsider, og enkelte har det ennå. Heldigvis er de fleste bevisste på sikkerhet, men det finnes mange syndere i sommersolen.
Dersom du legger et script inne langt oppe på dine sider, og dette scriptet ikke er tilgjengelig, så blir dine sider utilgjengelige. Så enkelt er det. Er Google Analytics nede så er du nede. Kundens nettleser spinner og spinner og venter på at koden som i utgangspunktet var gratis skal slippe opplastingen videre, til det egentlige, viktige innholdet, som ligger lenger nede på siden.
Derfor bør gratis kode, og all annen kode som du ikke er 100% sikker på, og som du kan søke erstatning fra om den er nede over lang tid, legges helt nederst i BODY-delen av dine sider. Da spinner nettleseren til kunden rundt og venter på «ingenting», så sidene er tegnet opp om ikke annet.
I «gamle dager» dvs på 90-tallet på Internet var det slik at ledelsen var vant med at det de publiserte var godkjent av organisasjonen, gjerne også via juridisk avdeling, spesielt om det var en stor bedrift med krav til innhold og hva som ble sendt ut i årsrapporter og pressemeldinger. Nå har man det motsatte, innhold kan lages av hvem som helst, script, tagger, variable og koder kan legges inn på tvers av sikkerhetsavdelinger og firma-politikk mange steder, og det er en utfordring for mange i Norge. Antageligvis vil en god del nettsteder i Norge legge inn spyware uten at de vet det, dersom selgeren bak tjenesten har en forlokkende nok ytelse bundet opp i sin gratis tjeneste.
Jeg sier ikke at man skal regulere publiseringen og gjøre det vanskeligere å publisere, men jeg påpeker et klart sikkerhetshull, både for oppetid og for hva bedriften viser seg fram med. Man må ha kontroll, og man må ha bevissthet rundt hva script gjør og hvem som er ansvarlig, samt hva man skal gjøre når det oppstår problemer. Det kan være et stort problem å ringe en gratis-leverandør dersom man har utrulling av ny struktur 4 ganger i året, det er lenge å vente når man er nede, eller når man er på forsidene av VG og DN pga personnummer og annen kundeinformasjon som man ser flagrer ut til gratis tjenester utenfor kontroll.
Sikkerhet er for omfattende til at jeg kan dekke det her. Jeg vil bare kort nevne at man aldri bør legge inn script på sine sider uten at man har en leverandør som kan fortelle eksakt hva som skjer rundt scriptet. Hva skjer med personvern og personlige data? Finnes det skjema som leser inn kortnummer, koder og personlig informasjon på ditt nettsted? Hvem eier disse data? Måles de? Er de en del av URL? Finnes de som variable? Sendes de ut av huset med statistikkløsningen? Hvor? Og deles de ut til andre utenfor din organisasjon? Har du en oppdatert personvernside som forteller dine kunder om hvordan de personlige data blir ivaretatt?
Relaterte innlegg:
Siste kommentarer