2025-12-28T12:00:00+01:00https://friendlybit.comFriendly Bit - Web development blogFriendly Bit is a blog by Emil Stenström, a Swedish web developer that occasionally gets ideas of how to improve the internet.JustHTML is now safe-by-default2025-12-28T12:00:00+01:002025-12-28T12:00:00+01:00http://friendlybit.com/python/justhtml-sanitization/Emil StenströmIf you accept HTML from users (comments, profiles, CMS fields), you eventually hit the same problem: You want to keep some markup. You really don’t want to...
<p>If you accept HTML from users (comments, profiles, CMS fields), you eventually hit the same problem:</p>
<ul>
<li>You want to keep <em>some</em> markup.</li>
<li>You really don’t want to ship an <a href="https://learn.snyk.io/lesson/xss/?ecosystem=javascript">XSS</a>.</li>
</ul>
<p>That’s why JustHTML now includes a built-in, policy-driven HTML sanitizer, and why serialization is <strong>safe-by-default</strong>.</p>
<h2 id="safe-by-default-serialization">Safe-by-default serialization<a href="#safe-by-default-serialization">#</a></h2>
<p>JustHTML sanitizes when you serialize to HTML or Markdown:</p>
<div class="highlight" data-language="PYTHON"><pre><span></span><span class="kn">from</span><span class="w"> </span><span class="nn">justhtml</span><span class="w"> </span><span class="kn">import</span> <span class="n">JustHTML</span>
<span class="n">user_html</span> <span class="o">=</span> <span class="p">(</span>
<span class="s1">'<p>Hello <b>world</b> <script>alert(1)</script> '</span>
<span class="s1">'<a href="javascript:alert(1)">bad</a> '</span>
<span class="s1">'<a href="https://example.com/?a=1&b=2">ok</a></p>'</span>
<span class="p">)</span>
<span class="n">doc</span> <span class="o">=</span> <span class="n">JustHTML</span><span class="p">(</span><span class="n">user_html</span><span class="p">,</span> <span class="n">fragment</span><span class="o">=</span><span class="kc">True</span><span class="p">)</span>
<span class="nb">print</span><span class="p">(</span><span class="n">doc</span><span class="o">.</span><span class="n">to_html</span><span class="p">())</span>
<span class="nb">print</span><span class="p">()</span>
<span class="nb">print</span><span class="p">(</span><span class="n">doc</span><span class="o">.</span><span class="n">to_markdown</span><span class="p">())</span>
</pre></div>
<p>This drops <code><script></code> and strips dangerous URLs:</p>
<div class="highlight" data-language="HTML"><pre><span></span><span class="p"><</span><span class="nt">p</span><span class="p">></span>Hello <span class="p"><</span><span class="nt">b</span><span class="p">></span>world<span class="p"></</span><span class="nt">b</span><span class="p">></span> <span class="p"><</span><span class="nt">a</span><span class="p">></span>bad<span class="p"></</span><span class="nt">a</span><span class="p">></span> <span class="p"><</span><span class="nt">a</span> <span class="na">href</span><span class="o">=</span><span class="s">"https://example.com/?a=1&amp;b=2"</span><span class="p">></span>ok<span class="p"></</span><span class="nt">a</span><span class="p">></</span><span class="nt">p</span><span class="p">></span>
</pre></div>
<div class="highlight" data-language="MARKDOWN"><pre><span></span>Hello <span class="gs">**world**</span> [bad] [<span class="nt">ok</span>](<span class="na">https://example.com/?a=1&b=2</span>)
</pre></div>
<h2 id="turning-it-off-trusted-input-only">Turning it off (trusted input only)<a href="#turning-it-off-trusted-input-only">#</a></h2>
<p>If the input is trusted and you want raw output, you can opt out:</p>
<div class="highlight" data-language="PYTHON"><pre><span></span><span class="nb">print</span><span class="p">(</span><span class="n">doc</span><span class="o">.</span><span class="n">to_html</span><span class="p">(</span><span class="n">safe</span><span class="o">=</span><span class="kc">False</span><span class="p">))</span>
<span class="nb">print</span><span class="p">(</span><span class="n">doc</span><span class="o">.</span><span class="n">to_markdown</span><span class="p">(</span><span class="n">safe</span><span class="o">=</span><span class="kc">False</span><span class="p">))</span>
</pre></div>
<h2 id="custom-allowlist-policies">Custom allowlist policies<a href="#custom-allowlist-policies">#</a></h2>
<p>The default policy is intentionally conservative, but you can provide your own <code>SanitizationPolicy</code>.
Here’s a small example that only allows <code>p</code>, <code>b</code>, and <code>a[href]</code>, and only allows <code>https</code> links:</p>
<div class="highlight" data-language="PYTHON"><pre><span></span><span class="kn">from</span><span class="w"> </span><span class="nn">justhtml</span><span class="w"> </span><span class="kn">import</span> <span class="n">JustHTML</span><span class="p">,</span> <span class="n">SanitizationPolicy</span><span class="p">,</span> <span class="n">UrlRule</span>
<span class="n">policy</span> <span class="o">=</span> <span class="n">SanitizationPolicy</span><span class="p">(</span>
<span class="n">allowed_tags</span><span class="o">=</span><span class="p">[</span><span class="s2">"p"</span><span class="p">,</span> <span class="s2">"b"</span><span class="p">,</span> <span class="s2">"a"</span><span class="p">],</span>
<span class="n">allowed_attributes</span><span class="o">=</span><span class="p">{</span><span class="s2">"*"</span><span class="p">:</span> <span class="p">[],</span> <span class="s2">"a"</span><span class="p">:</span> <span class="p">[</span><span class="s2">"href"</span><span class="p">]},</span>
<span class="n">url_rules</span><span class="o">=</span><span class="p">{</span>
<span class="p">(</span><span class="s2">"a"</span><span class="p">,</span> <span class="s2">"href"</span><span class="p">):</span> <span class="n">UrlRule</span><span class="p">(</span><span class="n">allowed_schemes</span><span class="o">=</span><span class="p">[</span><span class="s2">"https"</span><span class="p">]),</span>
<span class="p">},</span>
<span class="p">)</span>
<span class="n">doc</span> <span class="o">=</span> <span class="n">JustHTML</span><span class="p">(</span><span class="n">user_html</span><span class="p">,</span> <span class="n">fragment</span><span class="o">=</span><span class="kc">True</span><span class="p">)</span>
<span class="nb">print</span><span class="p">(</span><span class="n">doc</span><span class="o">.</span><span class="n">to_html</span><span class="p">(</span><span class="n">policy</span><span class="o">=</span><span class="n">policy</span><span class="p">))</span>
</pre></div>
<p>If you’re sanitizing a full document, safe serialization keeps <code><html></code>, <code><head></code>, and <code><body></code> wrappers.
For snippets, pass <code>fragment=True</code> to avoid implicit document wrappers.</p>
<p>There are also a couple of knobs that tend to show up in real systems:</p>
<ul>
<li>URL proxying (for example, rewriting <code>https://example.com/…</code> to <code>/proxy?url=…</code>)</li>
<li>Optional inline styles, with an allowlist of CSS properties and conservative value checks</li>
</ul>
<h2 id="why-i-built-codejusthtml-xss-benchcode">Why I built <code>justhtml-xss-bench</code><a href="#why-i-built-codejusthtml-xss-benchcode">#</a></h2>
<p>If you’ve worked on sanitizers before, you know the hard part isn’t writing a policy — it’s knowing what the browser will actually do with the result.</p>
<p>So I built a tiny benchmark harness: <code>[justhtml-xss-bench](https://github.com/EmilStenstrom/justhtml-xss-bench/)</code>.</p>
<p>What it does:</p>
<ul>
<li>Takes a payload vector and a sanitizer.</li>
<li>Sanitizes the payload.</li>
<li>Embeds the sanitized output into the initial HTML page ("server-side" style).</li>
<li>Loads it in a real Playwright browser engine.</li>
<li>Fails the case if JavaScript executes (including signals like dialogs or attempted external script fetches).</li>
</ul>
<p>It ships with <strong>7,000+ real-world XSS vectors</strong> and can be used to compare JustHTML’s output with other sanitizers.</p>
<p>If you want to explore it locally, the CLI looks like this:</p>
<div class="highlight" data-language="BASH"><pre><span></span><span class="c1"># Run all vector files in ./vectors against the default sanitizer set</span>
xssbench
<span class="c1"># Limit to one engine</span>
xssbench<span class="w"> </span>--browser<span class="w"> </span>chromium
<span class="c1"># List available sanitizers</span>
xssbench<span class="w"> </span>--list-sanitizers
<span class="c1"># Run a subset</span>
xssbench<span class="w"> </span>--vectors<span class="w"> </span>vectors/bleach.json<span class="w"> </span>--sanitizers<span class="w"> </span>noop
</pre></div>
<h2 id="threat-model-what-safe-means">Threat model (what “safe” means)<a href="#threat-model-what-safe-means">#</a></h2>
<p>JustHTML’s sanitizer aims to prevent script execution when you sanitize untrusted HTML and embed the result into an HTML document as markup.</p>
<p>It does <em>not</em> make it safe to drop the output into JavaScript string contexts, CSS contexts, URL contexts, or other non-HTML contexts — those need their own escaping/handling.</p>
<p>If you want the details, see the JustHTML sanitization documentation:</p>
<ul>
<li>https://github.com/EmilStenstrom/justhtml/blob/master/docs/sanitization.md</li>
</ul>
<p>And the benchmark harness repo:</p>
<ul>
<li>https://github.com/EmilStenstrom/justhtml-xss-bench</li>
</ul>
How to make e-mail encrypted for everyone2016-10-28T23:26:00+02:002016-10-28T23:26:00+02:00http://friendlybit.com/security/how-to-make-e-mail-encrypted-for-everyone/Emil StenströmUpdate: For a wholesome look at e-mail security this video from the CTO of ProtonMail: https://vimeo.com/216747532 When you send an e-mail today it's sent...
<blockquote>
<p><strong>Update</strong>: For a wholesome look at e-mail security this video from the CTO of ProtonMail: <a href="https://vimeo.com/216747532">https://vimeo.com/216747532</a></p>
</blockquote>
<p>When you send an e-mail today it's sent in plaintext. This means that when you connect to your local coffee shop's WiFi they can intercept all e-mail that is sent through their router. This is probably not the relationship you have with your barista…</p>
<p>E-mail is way more important than this, and should receive the same privacy protection as the web has with HTTPS. I haven't seen any meaningful progress on e-mail encryption in a long time, so this article is a suggestion of how to get things moving.</p>
<p>The base idea is this: <strong>We should make e-mail work just like the web in terms on encryption</strong>:</p>
<ul>
<li>Encryption should be added gradually, without breaking backwards compatibility (interoperability)</li>
<li>Intermediate servers shouldn't be able to read the message (privacy)</li>
<li>Users should be able to keep sending and receiving e-mail like they always have (usability)</li>
<li>E-mail clients and e-mail providers should be able to easily implement the scheme (simplicity)</li>
</ul>
<h2 id="encrypt-as-much-as-possible-of-the-e-mail-message">Encrypt as much as possible of the e-mail message<a href="#encrypt-as-much-as-possible-of-the-e-mail-message">#</a></h2>
<p>For web traffic, we've encrypting everything <a href="https://idea.popcount.org/2012-06-16-dissecting-ssl-handshake/">except the domain name</a> of the site we're connecting to, this is how e-mail should work too. Since we need to know who to send the e-mail to, we should encrypt everything except the recipient address.</p>
<p>Some of you might have read about <a href="https://en.wikipedia.org/wiki/Opportunistic_TLS">STARTTLS</a>, a way to make SMTP encrypted. Unfortunately STARTTLS has <a href="https://blog.filippo.io/the-sad-state-of-smtp-encryption/">several problems</a> that makes it unfit to solve the privacy problem:</p>
<ul>
<li>It only encrypts the message <strong>between</strong> the many servers your e-mail passes through. Your e-mail is decrypted and exists in plaintext on each of the intermediate servers. If any of the intermediate servers is hacked they get full access to all e-mails passing through. You likely don't have that kind of relationship with your ISP network administrator either…</li>
<li>If any of the intermediate servers doesn't support STARTTLS, the connection is downgraded to plaintext instead. One old server and the whole chain breaks.</li>
</ul>
<p>We should apply encryption on the client when sending, and decrypt at the recipient. No intermediate servers should get access to the message.</p>
<h2 id="encrypt-with-public-key-cryptography-without-the">Encrypt with public-key cryptography (without the hassle)<a href="#encrypt-with-public-key-cryptography-without-the">#</a></h2>
<p>The best way to handle this encryption is with <a href="https://en.wikipedia.org/wiki/Public-key_cryptography">public-key cryptography</a>, where the sender first fetches the public key of the receiver, sends the message encrypted with that key, and then that the receiver decrypts it using their private key.</p>
<p>People are already sending e-mail this way with <a href="https://en.wikipedia.org/wiki/Pretty_Good_Privacy">PGP</a>, so way not just use this everywhere? It has several big usability problems:</p>
<ul>
<li><strong>You need to do key management yourself</strong>. On the web the browser handles all cryptography for you. You type the address in the browser and everything just works. This is not the case with PGP. Look at this guide in the eyes of a normal person: <a href="http://zacharyvoase.com/2009/08/20/openpgp/">OpenPGP for a complete beginner</a> - it quickly goes into downloading zipfiles, package managers and using the command line to generate keys.</li>
<li><strong>You need to install software on your computer</strong>. Most e-mail providers are moving to the web, having to install a browser plugin just to send e-mail is not the experience we should strive for. I understand that this is means your e-mail provider can read your e-mail, so it won't work for everyone. But I think most people will accept that the same way they accept that their bank can read their bank statement. If we can trade this for usability it's still a HUGE step up for privacy.</li>
</ul>
<p>Here's how this could be done differently:</p>
<p><strong>Encryption:</strong></p>
<ol>
<li>For each recipient in the To, Cc, and Bcc fields:<ol>
<li>Do a lookup against their domain to see if it supports encryption. This should be a new DNS record that points to an address that the e-mail client can use to fetch the public key for a specific user of that domain.</li>
<li>Fetch the public key for each of the users of the domain</li>
<li>If both the domain has encryption support and the public key can be fetched, show a lock symbol beside that e-mail address to show that the message to that recipient will be encrypted. Clicking the lock can show information about the encryption that will be used, just like browsers do today.</li>
</ol>
</li>
<li>When the message is sent, split it into as many parts as the number of recipients and encrypt each part with that recipient's public key. Send it off to each recipient using the normal protocols. Users on domains that don't support encryption will get messages sent in plaintext, just like today. This ensures support can be added gradually.</li>
</ol>
<p>Note that for the user nothing changes compared to how they send e-mail today, except that the lock shows up. Web users are slowly learning about the importance of the lock symbol when browsing the web, transfering that knowledge to e-mail too will create a push for e-mail server operators to support encryption.</p>
<p><strong>Decryption:</strong></p>
<ul>
<li>When the encrypted e-mail reaches the intended recipients e-mail server, that server uses the private key for that user to decrypt the message and (securely) deliver it the the users inbox. The user reads their e-mail like they've always have.</li>
</ul>
<p>Some may frown reading that I suggest leaving the private key in the hands of your e-mail provider. I agree that this means you lose some privacy to your e-mail provider. The upside here is that we gain a lot of usability. An e-mail provider (such as Gmail) could and an e-mail client (such as Thunderbird) could update all their software tomorrow and <strong>all e-mail sent from Thunderbird to Gmail would be instantly encrypted</strong>. This removes the burden of normal users to learn about cryptography to be safe on the web.</p>
<p>In summary, these are the changes that needs to happen for e-mail move towards being encrypted by default:</p>
<h2 id="consequences-for-e-mail-clients">Consequences for e-mail clients<a href="#consequences-for-e-mail-clients">#</a></h2>
<ul>
<li><strong>New features needed:</strong><ul>
<li>Fetch a DNS record for each receiving domain they want to send an e-mail to</li>
<li>Fetch each receiving user's public key in the background</li>
<li>And encrypt as much as possible of the outgoing e-mail</li>
<li>Send the e-mail using the normal protocols</li>
</ul>
</li>
<li><strong>Ways to pitch this to users:</strong><ul>
<li>All e-mail sent to e-mail providers that support this scheme will be encrypted by default, with no effort on your part</li>
<li>You can easily see which addresses get encrypted messages with the lock icon that you know from browsers</li>
<li>Increased privacy from prying eyes</li>
</ul>
</li>
</ul>
<h2 id="consequences-for-e-mail-providers">Consequences for e-mail providers<a href="#consequences-for-e-mail-providers">#</a></h2>
<ul>
<li><strong>New features needed:</strong><ul>
<li>Add a DNS record that points to their public keys</li>
<li>Serve the public key of a specific user that the e-mail clients ask for</li>
<li>Decrypt incoming e-mails using the private key of that user</li>
<li>Deliver the e-mail using the normal protocols</li>
</ul>
</li>
<li><strong>Ways to pitch this to users:</strong><ul>
<li>All e-mails sent from clients that support this scheme will be encrypted by default, with no effort on your part</li>
<li>Increased privacy from prying eyes, do you really trust your local coffee shop as much as your e-mail provider?</li>
</ul>
</li>
<li><strong>Business reasons:</strong><ul>
<li>Support privacy without letting go of the chance to serve ads based on the content of the users e-mails. This is a very important point for big players like Gmail that serve ads. Users or course still have the option to use another e-mail provider or add PGP if they want.</li>
<li>Nothing in this scheme blocks smaller players from making their users safe using the same methods as the big players will.</li>
</ul>
</li>
</ul>
<h2 id="in-summary">In summary<a href="#in-summary">#</a></h2>
<p>I think this is a very straightforward way to make all e-mail encrypted. If anyone has a better suggestion that balances the needs of users, e-mail clients and e-mail providers differently I'm all ears. But let's not let this privacy travesty go on much longer…</p>
Hur säkra är svenska banker? (Swedish)2015-03-01T19:22:05+01:002015-03-01T19:22:05+01:00http://friendlybit.com/security/hur-sakra-ar-svenska-banker/Emil StenströmSäkerheten varierar stort bland svenska banker. Bankens storlek hänger inte ihop med hur väl dom hanterar säkerheten. Ingen av de fyra storbankerna kom med...
<p><em>Säkerheten varierar stort bland svenska banker. Bankens storlek hänger inte ihop med hur väl dom hanterar säkerheten. Ingen av de fyra storbankerna kom med på topplistan. Några små banker finns med i toppen, några riktigt stora finns i botten.</em></p>
<p>För att testa bankernas säkerhet gav jag varje bank två olika betyg:</p>
<ol>
<li><p><strong>Kryptering: Krypteras trafiken mellan dig och banken ordentligt?</strong></p>
<p>Utan kryptering kan andra se de uppgifter som du skickar till banken, personnummer, lösenord, och koder. Dessa relativt tekniska tester görs med hjälp av <a href="https://www.ssllabs.com/ssltest/">SSL Labs</a>. Betygsskalan kommer direkt från SSL Labs och går från A-F, där A är bäst. Notera att jag testar inloggningssidan, inte startsidan.</p>
</li>
<li><p><strong>Visuellt: Ser allt ok ut i webbläsaren?</strong></p>
<p>Det finns gott om guider som lär ut webbsäkerhet till ovana användare. Här tittar jag på om banksajterna är konfigurerade så att allt ser OK ut för en vanlig användare. Har sajten grönt hänglås? Jag har använt samma betygsskala: A-F, där A är bäst.</p>
</li>
</ol>
<p>Bankerna kommer från Finansinspektionens lista över <a href="http://www.fi.se/Templates/InstitutcategoriesPage.aspx?id=2466?la=sv">bankaktiebolag och medlemsbanker</a>. De lokala sparbankerna har inte tagits med, och inte heller de som främst riktar sig till företag. Testet gjordes 2015-02-28. <a href="https://docs.google.com/spreadsheets/d/1KBwhyUt9Afo7_4p0izS8eSudGyHr89Ckwym--pNe1S4/edit?usp=sharing">Rådata för testet finns här</a>, inklusive länkarna till SSL Labs där du kan se testresultatet själv.</p>
<h3 id="uppdaterat">Uppdaterat:<a href="#uppdaterat">#</a></h3>
<p>Eftersom denna artikel fått väldigt bra spridning har flera av bankerna hört av sig. Ofta med konkreta förbättringar de har genomfört på grund av min artikel. Här hittar du en tidslinje över hur artikeln har ändrats över tid.</p>
<ul>
<li>2015-03-03: <strong>Inga fler uppdateringar görs från detta datum och framåt...</strong></li>
<li>2015-03-02: <strong>Danske Bank</strong> tillagd. Dom får tyvärr bara ett C.</li>
<li>2015-03-02: Kontrollerade stöd för <a href="https://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions"><strong>DNSSEC</strong></a>: Landshypotek, Marginalen, Danske Bank, och Länsförsäkringar är de enda som stödjer det.</li>
<li>2015-03-03: Rättade felaktig klassificering av SBAB. Jag hade testat startsidans certifikat, inte inloggningssidans.</li>
<li>2015-03-04: <strong>SBAB Bank</strong> har förbättrat sitt certifikat på startsidan.</li>
<li>2015-03-04: <strong>Länsförsäkringar</strong> har uppdaterat sitt certifik och får nu ett B.</li>
<li>2015-03-05: <strong>Ekobanken</strong> har uppdaterat sitt certifikat och får nu ett A.</li>
<li>2015-03-05: <strong>Forex bank</strong> har uppdaterat sitt certifikat och får nu ett A.</li>
<li>2015-03-05: <strong>Santander Consumer</strong> har släppt en ny internetbank och hamnar nu på B.</li>
<li>2015-03-06: <strong>MedMera Bank</strong> har uppdaterat sitt certifikat och får nu ett B.</li>
<li>2015-03-07: <strong>Carnegie Bank</strong> har uppdaterat sitt certifikat och får nu ett A</li>
<li>2015-03-08: <strong>SBAB Bank</strong> har gjort ytterligare uppdateringar och blir första bank med A/A. Full pott!</li>
<li>2015-03-12: <strong>JAK Medlemsbank</strong> har uppdaterat sitt certifikat och får nu ett B.</li>
<li>2015-03-12: <strong>Länsförsäkringar</strong> har uppdaterat sitt certifikat och får nu ett A-.</li>
<li>2015-03-18: <strong>Swedbank</strong> kör nu HTTPS på sin startsida.</li>
<li>2015-04-11: <strong>Resurs Bank</strong> har uppdaterat certifikatet på sin startsida, och kräver nu även https där. Inloggningscertifikatet kommer att uppdateras också, men är inte klart ännu.</li>
<li>2015-04-24: <strong>Skandiabanken</strong> kör nu HTTPS på sin startsida.</li>
<li>2015-10-28: <strong>Resurs Bank</strong> har flyttat sin inloggningssida till egen domän och certifikat.</li>
</ul>
<h2 id="bankerna-med-bast-sakerhet-a">Bankerna med bäst säkerhet (A):<a href="#bankerna-med-bast-sakerhet-a">#</a></h2>
<p>Fantastiska resultat för alla dessa fyra banker. Krypteringen uppfyller best practices och du kan sova gott med vissheten att din bank är bland Sveriges bästa.</p>
<table>
<tr>
<th rowspan="2">
</th>
<th colspan="2">
Kryptering
</th>
<th colspan="2">
Visuellt
</th>
</tr>
<tr>
<th>
Betyg
</th>
<th>
Not
</th>
<th>
Betyg
</th>
<th>
Not
</th>
</tr>
<tr>
<td>
<strong>SBAB</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
1
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Skandiabanken</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
1
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Resurs Bank</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
1
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Landshypotek</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
2
</td>
<td>
<strong>B</strong>
</td>
<td>
4
</td>
</tr>
<tr>
<td>
<strong>Carnegie Investment Bank</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
4
</td>
</tr>
<tr>
<td>
<strong>Ekobanken</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
4
</td>
</tr>
<tr>
<td>
<strong>Forex Bank</strong>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
4
</td>
</tr>
<tr>
<td>
<strong>Länsförsäkringar Bank</strong>
</td>
<td>
<strong>A-</strong>
</td>
<td>
3
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Marginalen Bank</strong>
</td>
<td>
<strong>A-</strong>
</td>
<td>
3
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Nordnet</strong>
</td>
<td>
<strong>A-</strong>
</td>
<td>
3
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
</table>
<p><strong>Noter</strong>:</p>
<ol>
<li>Grattis till <strong>SBAB Bank, Skandiabanken</strong> och <strong>Resurs Bank</strong> som får A i båda kategorier.</li>
<li>En extra eloge till <strong>Landshypotek</strong> som får noll varningar från SSL Labs.</li>
<li>Flera banker får <strong>A minus</strong> eftersom de saknar stöd för <a href="https://en.wikipedia.org/wiki/Forward_secrecy">Forward Secrecy</a>. Förenklat innebär det att krypteringsmetoden ändras över tid, så att någon som avlyssnat trafik till en sajt för länge sedan inte kan dekrypteras den om sajten hackas senare. Totalt har endast tre svenska banker har stöd för detta (Landshypotek, Skandiabanken och ICA Banken (se nedan)). Bra jobbat!</li>
<li>Flera bankers <strong>startsidor saknar kryptering</strong>. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det <a href="https://support.google.com/chromebook/answer/95617">gröna hänglåset</a> så länge dom har med banken att göra.</li>
</ol>
<h2 id="bankerna-som-nastan-kom-med-pa-topplistan-b">Bankerna som nästan kom med på topplistan (B):<a href="#bankerna-som-nastan-kom-med-pa-topplistan-b">#</a></h2>
<p>Även här får bankerna bra betyg. Anledningen att dom missar topplistan är att samtliga banker i denna lista har problem med vilka krypteringsalgoritmer/protokoll dom stödjer. Det är enkelt egentligen: Om en krypteringsmetod är bevisat osäker (t.ex. RC4 eller SSL3) ska den plockas bort. Att ha den kvar innebär att kunderna luras att tro att deras uppkoppling mot banken är säker trots att den inte är det.</p>
<table>
<tr>
<th rowspan="2">
</th>
<th colspan="2">
Kryptering
</th>
<th colspan="2">
Visuellt
</th>
</tr>
<tr>
<th>
Betyg
</th>
<th>
Not
</th>
<th>
Betyg
</th>
<th>
Not
</th>
</tr>
<tr>
<td>
<strong>ICA Banken</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
1
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Avanza</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>MedMera Bank</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Santander Consumer</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>JAK Medlemsbank</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>Swedbank</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>A</strong>
</td>
<td>
</td>
</tr>
<tr>
<td>
<strong>SEB</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
2
</td>
</tr>
<tr>
<td>
<strong>Volvofinans Bank</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
2
</td>
</tr>
<tr>
<td>
<strong>Ikanobanken</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
2
</td>
</tr>
<tr>
<td>
<strong>Nordea Bank AB</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
2
</td>
</tr>
<tr>
<td>
<strong>Handelsbanken</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>B</strong>
</td>
<td>
2
</td>
</tr>
</table>
<p><strong>Noter</strong>:</p>
<ol>
<li><strong>ICA Banken</strong> är nästan med i topplistan ovan. Dom krypterar sin startsida, dom stödjer <a href="https://en.wikipedia.org/wiki/Forward_secrecy">Forward Secrecy</a>, och är dessutom den enda bank som stödjer <a href="https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HTTP Strict Transfer Security</a>. Tyvärr används krypteringsalgoritmen <a href="https://en.wikipedia.org/wiki/RC4#Security">RC4</a>, en algoritm som inte är säker alls. Har du en lite äldre webbläsare kan du alltså bli lurad att allt ser bra ut, trots att trafiken mellan dig och banken relativt enkelt kan avlyssnas. ICA Banken borde helt enkelt stänga av stöd för RC4, be sina användare att uppgradera sin webbläsare, och inta toppositionen i denna lista.</li>
<li>Flera bankers <strong>startsidor saknar kryptering</strong>. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det <a href="https://support.google.com/chromebook/answer/95617">gröna hänglåset</a> så länge dom har med banken att göra.</li>
</ol>
<h2 id="bankerna-som-du-borde-vara-orolig-for-c">Bankerna som du borde vara orolig för (C):<a href="#bankerna-som-du-borde-vara-orolig-for-c">#</a></h2>
<p>Någonstans här är det dags att börja bli orolig. Dessa banker har gemensamt att dom inte hanterar sin kryptering på rätt sätt. Extra olyckligt är det ställt för OK-Q8 Bank som använder en <a href="https://nettbank.edb.com/">färdig produkt från EDB</a> och ändå får sämst betyg av C-bankerna.</p>
<table>
<tr>
<th rowspan="2">
</th>
<th colspan="2">
Kryptering
</th>
<th colspan="2">
Visuellt
</th>
</tr>
<tr>
<th>
Betyg
</th>
<th>
Not
</th>
<th>
Betyg
</th>
<th>
Not
</th>
</tr>
<tr>
<td>
<strong>Danske Bank</strong>
</td>
<td>
<strong>B</strong>
</td>
<td>
</td>
<td>
<strong>F</strong>
</td>
<td>
2
</td>
</tr>
<tr>
<td>
<strong>Erik Penser</strong>
</td>
<td>
<strong>C</strong>
</td>
<td>
3
</td>
<td>
<strong>F</strong>
</td>
<td>
4, 5
</td>
</tr>
<tr>
<td>
<strong>OK-Q8 Bank</strong>
</td>
<td>
<strong>C</strong>
</td>
<td>
3
</td>
<td>
<strong>F</strong>
</td>
<td>
1, 4, 6
</td>
</tr>
</table>
<p><strong>Noter:</strong></p>
<ol>
<li>OK-Q8 Bank lyckas vända något bra - det gröna hänglåset - till något mindre bra. Ett klick på det gröna hänglåset visar vem som garanterar säkerheten på webbplatsen. Bakom OK-Q8 Bank står EVRY AS, <strong>ett norskt bolag, som garant</strong>.Hur ska en kund veta att det är banken som står bakom det certifikatet, att dom har kommit till rätt sajt? Underkänt.</li>
<li>Danske Bank har bara har satsat på en <strong>grått hänglås</strong>. Den gråa hänglåset betyder att uppkopplingen är krypterad, men inte vem som står bakom den (så kallad <a href="https://en.wikipedia.org/wiki/Extended_Validation_Certificate">Extended Validation</a>). För något så känsligt som banktjänster ska ett riktigt EV-certifikat användas.</li>
<li>Flera banker verkar inte ha skyddat sig från ett <strong>säkerhetshål som döpts till <a href="https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack">POODLE</a></strong>. Google publicerade detaljer om hur man använder sig av hacket redan i oktober 2014. Att det fortfarande finns banker som inte skyddat sig är anmärkningsvärt.</li>
<li>Flera bankers <strong>startsidor saknar kryptering</strong>. Eftersom inloggningssidorna är krypterade är detta inte katastrof, bara olyckligt. Att ha kryptering på hela sin webbplats är en bra idé eftersom kunden vänjer sig vid att se det <a href="https://support.google.com/chromebook/answer/95617">gröna hänglåset</a> så länge dom har med banken att göra.</li>
<li>Erik Penser gör kapitalfel på sin inloggningssida, den <strong>ser inte ut att vara krypterad</strong>. Som kund ska man aldrig skriva in känsliga inloggningsuppgifter på en webbsida som saknar hänglås. Erik Penser gör visserligen rätt bakom kulisserna (inloggningssidan ÄR krypterad) men det visas inte upp för kunden alls. Gör om, gör rätt.</li>
<li>OK-Q8 Bank och Danske Bank visar inte något som helst hänglås i webbläsaren. Anledningen är att inloggningssidan <strong>hämtar bilder över en helt okrypterad uppkoppling</strong>. Det gör att man väldigt lätt kan se att du loggar in på banken. Danske Bank döljer dessutom denna miss genom att visa inloggningssidan i en popupruta. Riktigt illa.</li>
</ol>
<h2 id="bankerna-du-borde-undvika-f">Bankerna du borde undvika (F):<a href="#bankerna-du-borde-undvika-f">#</a></h2>
<p>Dags för bottennoteringarna. Det gemensamma för dessa banker är att dom har allvarliga problem med sin kryptering. Du kan därför inte kan lita på att trafiken till deras sajter är ordentligt krypterad.</p>
<p><strong>Inga banker ligger på den här positionen längre. Bra jobbat av alla fem!</strong></p>
<h2 id="slutligen">Slutligen<a href="#slutligen">#</a></h2>
<p>Det finns väldigt många andra kriterier att sätta betyg på, men jag nöjer mig med detta denna gång. Kanske finns det någon annan som vill fortsätta jämförelsen på sin egen blogg?</p>
<p>Vill du diskutera resultaten vidare finns jag på Twitter: @<a href="http://twitter.com/EmilStenstrom">EmilStenstrom</a></p>