Techflog #5 – Gwefannau diogel

Un o hanfodion y rhyngrwyd yw trosglwyddo gwybodaeth yn ddiogel. Y dechnoleg ar gyfer diogelu trosglwyddo gwybodaeth ar y we yw SSL a TLS. SSL oedd y fersiwn cynta o’r 90au a fe’i wellwyd i TLS fersiwn 1.0 erbyn 1999.

Yn nyddiau cynnar y we, cafodd ei ddefnyddio yn bennaf ar gyfer gwefannau e-fasnach ond erbyn hyn mae disgwyl iddo gael ei ddefnyddio ar gyfer trosglwyddo unrhyw wybodaeth breifat rhwng cyfrifiadur a gwefan. Mae hyn yn arbennig o bwysig pan mae pobl yn defnyddio gwasanaethau di-wifr am ddim mewn mannau cyhoeddus, lle mae’n haws o lawer i rywun arall glustfeinio i’r data sy’n llifo ar y rhwydwaith.

Yn ddiweddar mae llawer o waith wedi ei wneud gan nifer o bobl i ganfod gwallau ym mhob fersiwn o SSL/TLS. Fe ddarganfuwyd y gwall Heartbleed yn gynharach eleni a fe sbardunodd hyn fwy o ddiddordeb mewn gwella safon yr algorithmau a’r meddalwedd sy’n eu weithredu.

Erbyn hyn mae pob fersiwn o SSL yn cael eu ystyried yn anniogel a dim ond TLS 1.0+ dylid eu defnyddio. Mae yna welliannau cyson yn cael eu gwneud i feddalwedd poblogaidd fel OpenSSL a mae hyn yn golygu fod angen gwneud yn siwr fod systemau yn cael eu diweddaru yn gyson. Dyma un o’r rheolau pwysicaf ynglyn a diogelwch – i ddefnyddio ymadrodd Ron Davies, fe ddylai diogelwch fod yn broses nid digwyddiad.

Diwedd SSLv3

Ym mis Hydref, fe ganfuwyd fod SSL fersiwn 3.0 yn anniogel (ymosodiad POODLE oedd y disgrifiad chwareus). Er fod yna welliannau wedi eu ryddhau er mwyn lleihau y risg, yr ateb symlaf a chyflymaf oedd analluogi SSLv3 yn gyfangwbl ar wefannau.

Mae yna un sgîl-effaith pwysig o wneud hyn – mae’n golygu na fydd Internet Explorer 6 ar Windows XP yn gallu cysylltu a’r wefan ddiogel. Pwy sy’n dal i ddefnyddio IE6 ar XP medde chi? Wel diolch byth, mae’r canran wedi disgyn i lai na 1% erbyn hyn. Ar wefan e-fasnach dyw gwahardd 1% o’ch defnyddwyr ddim yn syniad da ond mae’n dibynnu wrth gwrs ar beth yw incwm a phwysigrwydd y wefan.

Mae nifer o gyrff yn dal i aros ar Windows XP oherwydd yr angen i weithio gyda systemau ‘etifeddol’ – er fod cefnogaeth i XP wedi dod i ben. Mae hyn yn lleihau yn raddol ac efallai fod datblygiadau diweddar yn gymorth i gyflymu’r broses o’i ddisodli.

Cyn i mi droi SSLv3 i ffwrdd ar y gwefannau dwi’n cynnal roedd angen edrych ar faint o ddefnyddwyr oedd yn dal i ddefnyddio IE6. Fel mae’n digwydd, dyw’n gwefannau ni ddim wedi cael eu adeiladu i weithio ar IE6 ers tua 2011 heblaw fod y cleient wedi gofyn yn benodol amdano (ac ers 2012 mi fydden yn debygol o wrthod hynny hefyd, wrth i wefannau ymatebol ddod yn fwy safonol).

O edrych ar yr ystadegau, roedd nifer y defnyddwyr IE6 lawr i rhwng 0.1-0.4% ar ein gwefannau. Ar un gwefan oedd yn cymeryd miloedd o daliadau y mis, roedd tua un y mis yn defnyddio IE6. Does dim gwerth poeni am hynny felly, a dwi wedi troi SSlv3 i ffwrdd ar dros 20 gwefan, heb unrhyw gwynion eto.

Yn yr ail ran mi fyddai’n edrych ar bwy sy’n methu diogelu eu gwefannau.

Postiwyd y cofnod hwn yn Gwaith, Technoleg, Y We. Llyfrnodwch y paraddolen.