Arolwg rhan 2: gwefannau diogel awdurdodau lleol Cymru

Dyma ail ran yr arolwg o ddiogelwch ar wefannau (gweler rhan 1) yn edrych yn benodol ar wefannau yr awdurdodau lleol. Mae 22 ohonynt ar hyn o bryd er fod ad-drefnu ar y gweill.

Wrth wneud yr arolwg yma, fe ddaeth hi’n amlwg i mi pa mor wastraffus yw cael 22 o wefannau unigol, i gyd o safon amrywiol. Er hynny mae llawer o’r wybodaeth ar wefannau y cynghorau yn benodol i’w ardal a mae yna fantais pendant i gadw hynny mor lleol a phosib.

Mae yna adrannau ar y gwefannau hyn lle mae diogelwch yn hollbwysig gan fod modd gwneud pob math o daliadau i’r cynghorau ar lein a gwneud ymholiadau a allai gynnwys gwybodaeth breifat.

Fe brofwyd yr holl wefannau yma ar 2014-11-27

Awdurdod Lleol Sgôr Nodiadau
Caerdydd A- SSL ar bopeth
Sir Benfro A- Ffurflenni ar secure1.pembrokeshire.gov.uk/ Taliadau ar payments.pembrokeshire.gov.uk
Sir y Fflint A- Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Civica)
Torfaen A- Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Civica)
Rhondda Cynon Taf A- Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Civica)
Bro Morgannwg A- Dim SSL ar ffurflenni. Taliadau ar payments.valeofglamorgan.gov.uk
Abertawe A-,C Ffurflenni ar SSL. Taliadau yn allanol ar SSL (Civica)
Sir Fynwy A-,C Ffurflenni ar SSL forms.monmouthshire.gov.uk Taliadau yn allanol ar SSL (Civica)
Wrecsam A-,C Ffurflenni ar SSL. Taliadau yn allanol ar SSL (Civica)
Sir Ddinbych B SSL ar bopeth
Merthyr Tudful B Ffurflenni ar SSL. Taliadau ar SSL payments.merthyr.gov.uk
Conwy B Ffurflenni a thaliadau ar SSL.
Blaenau Gwent B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Pen-y-bont ar Ogwr B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Sir Gaerfyrddin B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Sir Geredigion B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Gwynedd B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Ynys Môn B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Castell-nedd Port Talbot B Dim SSL ar ffurflenni. Taliadau yn allanol ar SSL (Capita)
Caerffili B,F Ffurflenni ar SSL. Taliadau ar SSL payments.caerphilly.gov.uk
Powys B,F Ffurflenni ar SSL. Taliadau ar SSL onlinepayments.powys.gov.uk

Mae’r canlyniadau yma yn eitha da ar y cyfan. Dwi wedi rhestru rhain yn ôl gradd a sut mae nhw’n delio gyda ffurflenni yn gyffredinol. Mae Caerdydd a Sir Ddinbych yn haeddu canmoliaeth am roi’r wefan gyfan ar SSL.

Mae nifer o’r cynghorau yn defnyddio gwasanaethau allanol i gymeryd taliadau felly mae nhw’n manteisio ar wasanaeth canolog sy’n cael eu ddefnyddio gan nifer o gyrff.

Fe wnes i brofi rhai o’r gwefannau yma cwpl o fisoedd yn ôl a dwi wedi gweld gwelliannau yn barod o ran gwefannau newydd yn cael eu lansio gan rai cynghorau a ffurflenni ymateb yn cael eu diogelu. Mae rhai graddau wedi disgyn o A i A- yn yr un cyfnod – sydd mwy neu lai yn ddibwys ond mae’n dangos sut mae angen cadw golwg gyson ar y gwasanaethau hyn.

Posted in Technoleg, Y We | 1 Comment

Arolwg: gwefannau diogel yng Nghymru

Mae trosglwyddo gwybodaeth yn ddiogel ar y we yn gwbl hanfodol erbyn hyn. Enw’r dechnoleg yw SSL neu TLS – gweler blogiad cynt am esboniad – ac amgryptio (encrypt) y wybodaeth dros y rhwydwaith yw’r nod. Mae safonau amgryptio yn amrywio – dros amser mae’r algorithmau yn gwella a mae gwallau yn cael eu darganfod, felly rhaid gwneud yn siwr fod y dechnoleg yn cael eu ddiweddaru yn gyson.

Wrth reswm fe ddylai unrhyw daliadau ar lein fod yn ddiogel. Ar gyfer gwefannau masnachol neu wasanaethau cyhoeddus mae arfer da yn awgrymu y dylai unrhyw wybodaeth breifat gael eu ddiogelu hefyd e.e. cyfrinair, manylion archeb, cyfeiriad. Dyw’r wefan hon ddim yn defnyddio SSL am nifer o resymau: a) y gost, b) mae’n wefan bersonol, c) does dim gwasanaeth cyhoeddus hanfodol arno.

Dwi’n amau nad yw’r rhan fwyaf o ddefnyddwyr yn sylwi os yw gwefan yn ddiogel, ond mae eraill yn edrych am symbol y ‘clo’ yng nghornel y porwr neu ‘https’ yn y cyfeiriad. Er fod hyn yn arfer da, mae llawer mwy i ddiogelwch na hyn – fe allai gwefan ‘ddiogel’ fod yn anniogel mewn rhai sefyllfaoedd.

Mae hi’n bosib rhedeg profion ar wefannau i weld pa mor effeithiol yw’r diogelwch, a fe all hyn ddatgelu faint o sylw mae’r gweinyddwr yn ei roi i ddiweddaru y gweinydd sy’n cynnal y wefan. Rwy wedi cynnal arolwg ar rai o wefannau Cymreig i weld sut mae mae nhw’n defnyddio SSL. Dwi’n rhoi sgôr isod i brofi ‘cryfder’ y diogelwch – mae hyn yn deillio o brawf SSL Labs. Mae gradd A neu B yn dda, C angen gwella a mae F angen sylw brys.

Fe brofwyd y gwefannau yma i gyda ar 25/11/2014

Gwefan Gradd Nodiadau
Llywodraeth DU A Popeth ar SSL
Cynulliad Cymru A- Rhai ffurflenni ar SSL
Principality A- Adran gyfrifon ar SSL
NHS Cymru B SSL ar gael ond ddim mewn defnydd amlwg
Canolfan Mileniwm Cymru B SSL ar yr adran archebu
Portmeirion B SSL ar y tudalennau talu
Eisteddfod Genedlaethol B SSL ar y tudalennau talu
Gwales B Mae’r siop ar SSL
Venue Cymru C Popeth ar SSL
S4C F SSL ar gael. Dim tudalennau diogel i’w gweld
Comisiynydd y Gymraeg F SSL ar gael. Ffurflenni ddim yn ddiogel
Llywodraeth Cymru F SSL ar gael. Dim tudalennau diogel i’w gweld
Prifysgol Caerdydd F SSL ar gael. Dim tudalennau diogel i’w gweld
Llyfrgell Genedlaethol F Rhai adrannau diogel e.e. cofrestru
Amgueddfa Cymru F Dim SSL yn gyffredinol. Siop a rhoddion yn defnyddio taliad allanol e.e. Paypal

 

O edrych ar y gwefannau sy’n sgorio F – mae’n amlwg fod rhywun wedi mynd i’r drafferth o brynu tystysgrif SSL ar gyfer bob un (weithiau ar gyfeiriad sy’n wahanol i’r brif wefan). Ond nid pawb sy’n defnyddio y dechnoleg pan mae ar gael ac efallai fod hyn yn esbonio pam nad yw’r dechnoleg ar y safonau diweddaraf hefyd.

Sut mae’r pleidiau gwleidyddol yn wneud?

Plaid Gradd Nodiadau
Plaid Werdd Cymru  B Dim SSL ar ffurflenni. Ymuno drwy prif wefan Blaid Werdd (ar SSL)
Plaid Cymru  F SSL ar rhai ffurflenni e.e. Ymuno a chyfrannu
Llafur Cymru  F Dim SSL ar ffurflenni. Tudalen SSL i ymuno yn rhoi rhybudd. Ymuno ar brif wefan Llafur
Ceidwadwyr Cymru  F Dim SSL ar ffurflenni. Ymuno drwy prif wefan Ceidwadwyr
Democratiad Rhyddfrydol Cymru  F  Dim SSL ar ffurflenni. Ymuno drwy Google Docs!

 

Ddim mor dda felly. Mae yna wall eitha sylfaenol ar wefan Llafur Cymru am fod y dudalen “Ymuno â’r Lafur” (sic) yn cyfeirio at hen dudalen ar prif wefan Llafur, sy’n annilys bellach:

Os yw rhywun yn rhedeg gwefan e-fasnach, mi fydd angen pasio profion rheolaidd o dan drefn PCI, a mi fydd y profion yn darganfod y gwallau uchod. Hyd yn oed os nad oes taliadau yn cael eu derbyn ar wefan ddiogel mae hi dal yn ddyletswydd i gadw’r dechnoleg yn gyfredol.

Posted in Technoleg, Y We | 1 Comment

Techflog #5 – Gwefannau diogel

Un o hanfodion y rhyngrwyd yw trosglwyddo gwybodaeth yn ddiogel. Y dechnoleg ar gyfer diogelu trosglwyddo gwybodaeth ar y we yw SSL a TLS. SSL oedd y fersiwn cynta o’r 90au a fe’i wellwyd i TLS fersiwn 1.0 erbyn 1999.

Yn nyddiau cynnar y we, cafodd ei ddefnyddio yn bennaf ar gyfer gwefannau e-fasnach ond erbyn hyn mae disgwyl iddo gael ei ddefnyddio ar gyfer trosglwyddo unrhyw wybodaeth breifat rhwng cyfrifiadur a gwefan. Mae hyn yn arbennig o bwysig pan mae pobl yn defnyddio gwasanaethau di-wifr am ddim mewn mannau cyhoeddus, lle mae’n haws o lawer i rywun arall glustfeinio i’r data sy’n llifo ar y rhwydwaith.

Yn ddiweddar mae llawer o waith wedi ei wneud gan nifer o bobl i ganfod gwallau ym mhob fersiwn o SSL/TLS. Fe ddarganfuwyd y gwall Heartbleed yn gynharach eleni a fe sbardunodd hyn fwy o ddiddordeb mewn gwella safon yr algorithmau a’r meddalwedd sy’n eu weithredu.

Erbyn hyn mae pob fersiwn o SSL yn cael eu ystyried yn anniogel a dim ond TLS 1.0+ dylid eu defnyddio. Mae yna welliannau cyson yn cael eu gwneud i feddalwedd poblogaidd fel OpenSSL a mae hyn yn golygu fod angen gwneud yn siwr fod systemau yn cael eu diweddaru yn gyson. Dyma un o’r rheolau pwysicaf ynglyn a diogelwch – i ddefnyddio ymadrodd Ron Davies, fe ddylai diogelwch fod yn broses nid digwyddiad.

Diwedd SSLv3

Ym mis Hydref, fe ganfuwyd fod SSL fersiwn 3.0 yn anniogel (ymosodiad POODLE oedd y disgrifiad chwareus). Er fod yna welliannau wedi eu ryddhau er mwyn lleihau y risg, yr ateb symlaf a chyflymaf oedd analluogi SSLv3 yn gyfangwbl ar wefannau.

Mae yna un sgîl-effaith pwysig o wneud hyn – mae’n golygu na fydd Internet Explorer 6 ar Windows XP yn gallu cysylltu a’r wefan ddiogel. Pwy sy’n dal i ddefnyddio IE6 ar XP medde chi? Wel diolch byth, mae’r canran wedi disgyn i lai na 1% erbyn hyn. Ar wefan e-fasnach dyw gwahardd 1% o’ch defnyddwyr ddim yn syniad da ond mae’n dibynnu wrth gwrs ar beth yw incwm a phwysigrwydd y wefan.

Mae nifer o gyrff yn dal i aros ar Windows XP oherwydd yr angen i weithio gyda systemau ‘etifeddol’ – er fod cefnogaeth i XP wedi dod i ben. Mae hyn yn lleihau yn raddol ac efallai fod datblygiadau diweddar yn gymorth i gyflymu’r broses o’i ddisodli.

Cyn i mi droi SSLv3 i ffwrdd ar y gwefannau dwi’n cynnal roedd angen edrych ar faint o ddefnyddwyr oedd yn dal i ddefnyddio IE6. Fel mae’n digwydd, dyw’n gwefannau ni ddim wedi cael eu adeiladu i weithio ar IE6 ers tua 2011 heblaw fod y cleient wedi gofyn yn benodol amdano (ac ers 2012 mi fydden yn debygol o wrthod hynny hefyd, wrth i wefannau ymatebol ddod yn fwy safonol).

O edrych ar yr ystadegau, roedd nifer y defnyddwyr IE6 lawr i rhwng 0.1-0.4% ar ein gwefannau. Ar un gwefan oedd yn cymeryd miloedd o daliadau y mis, roedd tua un y mis yn defnyddio IE6. Does dim gwerth poeni am hynny felly, a dwi wedi troi SSlv3 i ffwrdd ar dros 20 gwefan, heb unrhyw gwynion eto.

Yn yr ail ran mi fyddai’n edrych ar bwy sy’n methu diogelu eu gwefannau.

Posted in Gwaith, Technoleg, Y We | Leave a comment

Teledu lleol

Mi fydd sianel deledu lleol newydd yn lansio ar gyfer Caerdydd mewn wythnos ar Hydref 15. Fe enillodd cwmni ‘Made in Cardiff’ y drwydded ddwy flynedd yn ôl a maent yn rhan o gwmni ehangach ‘Made Television’ sydd a thrwyddedau eraill ym Mryste, Leeds, Tyne and Wear a Middlesborough.

Dyma’r fideo promo sydd yn chwarae ar hyn o bryd ar sianel 23 ar Freeview a Sky 134

Prosiect Jeremy Hunt yw teledu lleol, o’i amser fel y Gweinidog Diwylliant yn San Steffan. Mae’r syniad yn deillio o’i brofiadau yn gweld sianeli lleol yn America, ers nad oes tystiolaeth y byddai’n gweithio yma. Yn yr UDA mae’r sianeli lleol yn gysylltiedig a un o’r prif rwydweithiau sy’n llenwi’r amserlen raglenni, gyda opt-owts lleol ar gyfer rhaglenni newyddion a nodwedd.

Mae £25m o’r cyllid ar gyfer lansio y sianeli lleol newydd yn dod o ffi drwydded y BBC, gyda gwerth £5m miliwn o gynnwys i’w roi gan y darlledwr. Mae’n ymddangos felly ei fod yn ceisio creu cystadleuaeth i newyddion lleol y BBC ond gan ddefnyddio ei arian a’i hadnoddau nhw.  Fase dim angen gwneud hyn os oedd cynnyrch rhanbarthol ITV dal i fod yn gryf ond mae nhw wedi ei hen lyncu fewn i un cwmni canolog, drwy gymorth y Ceidwadwyr, sydd nawr yn ceisio ail-greu yr hyn a gollwyd.

Fe roedd yna sianel deledu lleol i Gaerdydd o’r blaen yn y 90au ar y tonfeddi analog gan ddefnyddio trwydded cyfyngedig.

Pa mor llwyddiannus fydd y sianel ddigidol newydd? Mi fasech chi’n meddwl y byddai digon o boblogaeth yn ardal Caerdydd (dros filiwn) i gynnal gwasanaeth llewyrchus. Fodd bynnag, mae dros 8 miliwn o bobl yn Llundain Fawr – a mae eu sianel lleol nhw (sy’n cael ei ariannu gan y biliwnydd Evgeny Lebedev) newydd gael caniatád gan Ofcom i leihau eu oblygiadau ar gyfer deunydd lleol.

Dyw e ddim yn edrych yn addawol felly ond fe gawn ni weld.

Posted in Cyfryngau, Teledu | Leave a comment

Techflog #4

Wna’i ganolbwyntio ar un peth yng nghofnod ola’r wythnos. Fe wnaethon ni lansio gwefan yn gynharach wythnos yma ond cael gwybod wedyn fod angen symud y blog o’r hen wefan.

Heddiw fe ges i gopi o’r ffeiliau ar gyfer rhedeg y blog WordPress. Y peth syfrdanol cynta oedd fod y gronfa ddata MySQL dros 1GB o faint! Fel cymhariaeth, dim ond 3MB yw maint cronfa y blog yma.

Fe ddaeth hi’n amlwg yn gyflym iawn beth oedd ar fai – roedd 100 o gofnodion yn y blog ond dros 400,000 o sylwadau! Ac ie, sbam oedden nhw gyd mwy neu lai. Mi fyddai wedi bod yn amhosib mynd drwy bob sylw i’w cymedroli felly roedd angen ffordd o ddileu sbam.

O edrych drwy’r sbam roedd yna rhai allweddeiriau amlwg. Wna’i ddim rhestru nhw fan hyn ond mae nhw gyd yn enwau brand enwog, yn feddyginiaethau a nwyddau ffasiwn. Un peth da yw bo nhw gyd wedi eu cymedroli, ac erioed wedi eu cyhoeddi ar y blog. Dim ond tri sylw oedd wedi cyhoeddi a roedd rheiny yn edrych yn fwy dilys.

Roedd yn gwneud synnwyr felly i ddileu yr holl sylwadau wedi eu cymedroli. Y broblem yw fod y gronfa ddata mewn fformat InnoDB, sy’n cadw cofnod trafodol (transaction) o bob gweithred a roedd hwnnw dal yn 1GB er fod maint y data lawr i 18MB. Does dim posib lleihau y log felly yr ateb oedd dympio’r tablau SQL, dileu a ail-greu y gronfa ddata a’i lwytho nôl fewn.

A dyna ni, mae’r blog mewn gwell siap – ond sut i atal y sbam unwaith eto? Roedd y fersiwn WordPress yn eitha hen felly y peth cyntaf oedd uwchraddio i’r fersiwn diweddaraf – mae hynny yn bwysig o ran diogelwch beth bynnag. Yr ail beth oedd gosod y sylwadau i gau ar ôl 60 diwrnod.

Y trydydd oedd gosod ategyn gwrth-sbam. Mae Akismet yn dod fel rhan o feddalwedd WP ond mae angen i flogiau masnachol dalu am y gwasanaeth. Dwi wastad wedi defnyddio Spam Karma sy’n gweithio’n dda ond ddim yn cael ei ddatblygu rhagor. Posibilrwydd arall yw Antispam Bee sy’n ategyn Almaenaidd a dwi am roi cynnig ar hwn cyn bo hir.

Posted in Gwaith, Technoleg | Dim Sylwadau