Arolwg: gwefannau diogel yng Nghymru

Mae trosglwyddo gwybodaeth yn ddiogel ar y we yn gwbl hanfodol erbyn hyn. Enw’r dechnoleg yw SSL neu TLS – gweler blogiad cynt am esboniad – ac amgryptio (encrypt) y wybodaeth dros y rhwydwaith yw’r nod. Mae safonau amgryptio yn amrywio – dros amser mae’r algorithmau yn gwella a mae gwallau yn cael eu darganfod, felly rhaid gwneud yn siwr fod y dechnoleg yn cael eu ddiweddaru yn gyson.

Wrth reswm fe ddylai unrhyw daliadau ar lein fod yn ddiogel. Ar gyfer gwefannau masnachol neu wasanaethau cyhoeddus mae arfer da yn awgrymu y dylai unrhyw wybodaeth breifat gael eu ddiogelu hefyd e.e. cyfrinair, manylion archeb, cyfeiriad. Dyw’r wefan hon ddim yn defnyddio SSL am nifer o resymau: a) y gost, b) mae’n wefan bersonol, c) does dim gwasanaeth cyhoeddus hanfodol arno.

Dwi’n amau nad yw’r rhan fwyaf o ddefnyddwyr yn sylwi os yw gwefan yn ddiogel, ond mae eraill yn edrych am symbol y ‘clo’ yng nghornel y porwr neu ‘https’ yn y cyfeiriad. Er fod hyn yn arfer da, mae llawer mwy i ddiogelwch na hyn – fe allai gwefan ‘ddiogel’ fod yn anniogel mewn rhai sefyllfaoedd.

Mae hi’n bosib rhedeg profion ar wefannau i weld pa mor effeithiol yw’r diogelwch, a fe all hyn ddatgelu faint o sylw mae’r gweinyddwr yn ei roi i ddiweddaru y gweinydd sy’n cynnal y wefan. Rwy wedi cynnal arolwg ar rai o wefannau Cymreig i weld sut mae mae nhw’n defnyddio SSL. Dwi’n rhoi sgôr isod i brofi ‘cryfder’ y diogelwch – mae hyn yn deillio o brawf SSL Labs. Mae gradd A neu B yn dda, C angen gwella a mae F angen sylw brys.

Fe brofwyd y gwefannau yma i gyda ar 25/11/2014

Gwefan Gradd Nodiadau
Llywodraeth DU A Popeth ar SSL
Cynulliad Cymru A- Rhai ffurflenni ar SSL
Principality A- Adran gyfrifon ar SSL
NHS Cymru B SSL ar gael ond ddim mewn defnydd amlwg
Canolfan Mileniwm Cymru B SSL ar yr adran archebu
Portmeirion B SSL ar y tudalennau talu
Eisteddfod Genedlaethol B SSL ar y tudalennau talu
Gwales B Mae’r siop ar SSL
Venue Cymru C Popeth ar SSL
S4C F SSL ar gael. Dim tudalennau diogel i’w gweld
Comisiynydd y Gymraeg F SSL ar gael. Ffurflenni ddim yn ddiogel
Llywodraeth Cymru F SSL ar gael. Dim tudalennau diogel i’w gweld
Prifysgol Caerdydd F SSL ar gael. Dim tudalennau diogel i’w gweld
Llyfrgell Genedlaethol F Rhai adrannau diogel e.e. cofrestru
Amgueddfa Cymru F Dim SSL yn gyffredinol. Siop a rhoddion yn defnyddio taliad allanol e.e. Paypal

 

O edrych ar y gwefannau sy’n sgorio F – mae’n amlwg fod rhywun wedi mynd i’r drafferth o brynu tystysgrif SSL ar gyfer bob un (weithiau ar gyfeiriad sy’n wahanol i’r brif wefan). Ond nid pawb sy’n defnyddio y dechnoleg pan mae ar gael ac efallai fod hyn yn esbonio pam nad yw’r dechnoleg ar y safonau diweddaraf hefyd.

Sut mae’r pleidiau gwleidyddol yn wneud?

Plaid Gradd Nodiadau
Plaid Werdd Cymru  B Dim SSL ar ffurflenni. Ymuno drwy prif wefan Blaid Werdd (ar SSL)
Plaid Cymru  F SSL ar rhai ffurflenni e.e. Ymuno a chyfrannu
Llafur Cymru  F Dim SSL ar ffurflenni. Tudalen SSL i ymuno yn rhoi rhybudd. Ymuno ar brif wefan Llafur
Ceidwadwyr Cymru  F Dim SSL ar ffurflenni. Ymuno drwy prif wefan Ceidwadwyr
Democratiad Rhyddfrydol Cymru  F  Dim SSL ar ffurflenni. Ymuno drwy Google Docs!

 

Ddim mor dda felly. Mae yna wall eitha sylfaenol ar wefan Llafur Cymru am fod y dudalen “Ymuno â’r Lafur” (sic) yn cyfeirio at hen dudalen ar prif wefan Llafur, sy’n annilys bellach:

Os yw rhywun yn rhedeg gwefan e-fasnach, mi fydd angen pasio profion rheolaidd o dan drefn PCI, a mi fydd y profion yn darganfod y gwallau uchod. Hyd yn oed os nad oes taliadau yn cael eu derbyn ar wefan ddiogel mae hi dal yn ddyletswydd i gadw’r dechnoleg yn gyfredol.

Postiwyd y cofnod hwn yn Technoleg, Y We. Llyfrnodwch y paraddolen.