En förutsättning för att en användare skall kunna bli inloggad är att det finns ett användarkonto för henne. I ett sådant lagras unik information om användaren. Det finns konton som bara lagrar användarnamn och lösenord, men det finns också de som lagrar stora mängder information och till exempel är nyckeln till hela användarens pengavärld.

Om man vet vilken verklig människa som står bakom användarkontot så sägs hon vara identifierad (se sid 307 ).

Skapa ett nytt användarkonto

På många webbplatser skapas användarkontot genom att användaren registrerar sig själv genom att fylla i ett formulär. Ibland krävs bara att hon uppger vilket användarnamn hon vill ha, ibland krävs hon på betydligt fler uppgifter om sig själv.

Var försiktig med hur mycket uppgifter du kräver in i samband med registreringen. Se Fråga bara efter det du behöver veta, sid 343 .

En inloggning varar i allmänhet så länge som sessionen varar. Har man en generös tidsgräns för denna (vilket man bör ha) kan detta vara ett säkerhetsproblem om användaren till exempel använder en lånad dator eller lämnar sin egen dator obevakad. (Det bör noteras att en användare som loggar in från till exempel ett internetcafé även utsätter sig för risken att inloggningen avlyssnas direkt på datorn.)

Utloggning kan ha en viss psykologisk effekt – det känns bättre för användaren att uttryckligen kunna avbryta sessionen. Men som säkerhetsmekanism är den inte mycket att lita på. Användare glömmer alltför ofta att logga ut.

Även tidsgränser som skydd är problematiska. Sätts de snålt så blir de snabbt irriterande genom att användaren tvingas logga in igen så snart hon gjort en paus. Sätts de generöst finns risken att någon annan tar över sessionen efter att användaren lämnat datorn.

Vägar att stärka säkerheten kan vara certifikat för att säkra att användaren bara loggar in från sin egen dator och engångslösenord för att hindra lösenordsstöld. Tillsammans med om-autentisering vid säkerhetskritiska ögonblick kan den senare lösningen ge god säkerhet även för cafésurfaren.

Ett mer cyniskt, men möjligen rättvist sätt att se problemet är att faktiskt se det som användarens ansvar att skydda sin användaridentitet, till exempel genom att alltid låsa sin dator när hon lämnar den och inte utsätta sig för de risker som lånade datorer innebär.

På webbplatser som hanterar känslig information bör det alltid finnas ett tydligt sätt för användaren att logga ut så att hon kan känna sig trygg i att ingen har möjlighet att ta över hennes autentisering.

Vanligen görs detta med en ”Glöm mig” eller ”Logga ut”-knapp.

Ett alternativ för kommersiella webbplatser är att inte lägga någon större energi på att säkerställa användarens identitet utan istället koncentrera sig på pengarna. Kontokorten erbjuder tillräcklig säkerhet i att binda en beställning till en betalning. Visserligen är säkerheten låg – vem som helst som lyckats komma över kontokortsnumret och de andra uppgifterna på kortet kan utan problem lura systemet. Men fallen av bedrägeri är inte fler än att kostnaderna för dem täcks av systemet.

För att surfa runt på webbplatsen räcker det ofta att användaren är okänd eller gäst. Då är det onödigt att be henne autentisera sig bara för att komma in på webbplatsen, utan detta kan vänta tills användaren försöker gå in på en sida som kräver högre behörighet.

Om autentiseringen sker via lösenord, kan fälten för användarnamn och lösenord eller en länk till inloggningen finnas på alla sidor, så att användaren kan logga in när det passar henne.

En likartad variant är använda osäkra autentiseringsmetoder, till exempel automatisk autentisering med hjälp av kaka (se sid 317 ), fram till dess användaren vill se eller göra något som kräver större säkerhet. Detta är inte ovanligt till exempel på e-handelsplatser som kan ha en mycket låg säkerhetsnivå när användaren surfar runt (då användaridentiteten används för att anpassa vilka erbjudanden hon får) och en annan, betydligt högre, när hon går till kassan och skall börja hantera personuppgifter och betalning.

Ibland kan det dock vara en bra sak att bryta mot detta råd – om användaren krävs på autentisering så snart hon kommer till webbplatsen kan detta signalera att det är en plats där säkerheten är god.

Det kan det vare en god idé att begränsa möjligheterna att lura systemet genom att reglera varifrån man överhuvudtaget kan autentisera sig. Det är till exempel vanligt att intranät bara får användas från det interna nätverket. Även för publika webbplatser kan behörigheten att utföra säkerhetskänsliga saker, till exempel publicera nya sidor, begränsas till interna användare.

Ibland kontrolleras också datorns IP-nummer som en del av autentiseringen – detta ersätts dock alltmer av certifikat.

En situation där automatisk autentisering inte är bra är när användaren lånar en dator. Därför bör det alltid finnas en knapp typ ”Glöm mig”, och gärna även en förikryssad ruta redan vid inloggningen med en text typ ”Kom ihåg mig”, så att användaren kan välja att inte få sin autentisering sparad.

Autentisering av omedvetet inloggade

Användaren behöver inte alltid aktivt autentisera sig. Är syftet enbart att hålla ett minne av användaren, hennes beteende eller inställningar, kan även den första autentiseringen ske dolt och sedan hållas med hjälp av en kaka (se sid 325 ).

En sådan autentisering blir knuten enbart till datorn, inte till användaren. Det kan leda till missförstånd om olika användare brukar samma dator, till exempel på ett bibliotek.

Ett sätta att göra tillvaron mycket enklare för användaren – till priset av kraftigt sänkt säkerhet – är att automatiskt autentisera henne när hon kommer till webbplatsen nästa gång. Det enda som krävs är att hon använder samma dator. (Eller för att vara exakt, är samma användare på datorn och använder samma webbläsare.)

På ett tekniskt plan görs detta genom att en permanent kaka sparas. Se vidare Kakor , sid 325 .

Säkerheten för den här sortens autentisering är naturligtvis låg, eftersom den är knuten till användarens dator istället för till henne själv. Samtidigt är bekvämligheten hög, när användaren väl loggat in första gången behöver hon sedan aldrig tänka på det igen. För många webbplatser som inte hanterar känslig information, är detta rätt avvägning.

24-timmarswebben rekommenderar dock att man om möjligt inte använder automatisk autentisering.

Att användare ibland glömmer sitt lösenord är inget som går att undvika. Därför måste det finnas något sätt att få ett nytt lösenord.

• Personlig kontakt

Den säkraste metoden är att tvinga användaren personligen kontakta hjälpcentralen (supporten) för webbplatsen. Detta är dock mycket resurskrävande (speciellt i slutet av sommaren när folk kommer hem efter semestern), och används bara för webbplatser där säkerhetskraven är mycket höga eller för intranät där det är enkelt att få personlig kontakt.

• Vanligt brev eller SMS

Något mindre resurskrävande är om användaren via webbplatsen kan be att få ett lösenord sänt till en adress som finns registrerad för henne – till exempel som vanligt brev eller som SMS-meddelande. Om säkerhetskraven är höga kan det skickas i rekommenderat brev.

• E-post

En mycket vanlig variant är att användaren kan få lösenordet e-postat till en adress hon uppgav i samband med att hon skapade användarkontot. I dessa fall bör ett nytt lösenord genereras, se föregående råd.

Många användare har utvecklat vanan att inte hålla reda på lösenord för webbplatser som inte är viktiga för dem, utan använder istället regelmässigt ”Glömt lösenordet?”-funktionen.

Säkerheten hos denna metod är låg.

• Kontrollfrågor

En variant är att användaren i samband med registreringen fått skapa en fråga och ett svar. Vill hon ha lösenordet får hon frågan och måste ge svaret.

Säkerheten är låg - speciellt om det finns färdiga alternativ för kontrollfrågor. Den som tagit reda på användarens födelseort och mammans flicknamn har goda chanser att knäcka den.

Därför är det även i detta fall nödvändigt att generera ett nytt lösenord istället för att avslöja det användaren givit.

Säkerheten blir något bättre om användaren själv får formulera frågan, men inte heller då är den särskilt hög.

Engångslösenord

Ett sätt att avsevärt höja säkerheten hos inloggning är att förse användaren med engångslösenord, som hon får från till exempel ett skrapkort eller en dosa. Eftersom varje lösenord bara kan användas en gång är risken att de skall hamna i orätta händer betydligt mindre.

Certifikat

Ett certifikat är som ett papper där det står ”härmed intygas att innehavaren av detta papper är Ann Andersson” ¹⁶. Certifikatet laddas ner till eller installeras på användarens dator och används sedan för att autentisera henne.

Certifikaten skapar ett slags superlösenord, som i praktiken är omöjliga att förfalska. Därför ingår certifikat numera som en del av nästan alla lösningar som kräver hög säkerhet.

Certifikatet skulle inte vara mycket värt om vem som helst som kommer över datorn kan använda det. Därför krävs det nästan alltid någon slags autentisering på användarens dator innan certifikatet går med på att intyga användarens identitet. Det kan vara ett lösenord eller, i avancerade fall, ett pekfinger på datorns fingeravtrycksläsare .

Certifikat behöver inte nödvändigtvis förvaras på datorn, de kan också till exempel finnas lagrat i en krets på ett id-kort. Sådana certifikat kallas hårda , och betraktas allmänt som betydligt säkrare än de mjuka som förvaras på datorn.

Till de hårda metoderna brukar man räkna även andra där det krävs att användaren har tillgång till något fysiskt föremål (utöver datorn) – till exempel ett skrapkort eller en dosa med engångskoder. (Däremot är det tveksamt om identifiering via mobiltelefon kommer att kvalificera sig som hård metod – mobiltelefoner är en slags datorer och möjliga att hacka.)

Även om certifikaten i sig är säkra så finns det svaga länkar. Speciellt mjuka certifikat kan knäckas genom att avlyssna användarens dator efter lösenordet och kopiera certifikatsfilerna. Många kritiker menar därför att mjuka certifikat inte duger för tillämpningar som kräver hög säkerhet, medan försvararna menar att säkerheten är tillräcklig och att krav på hårda certifikat medför onödigt mycket krångel. På www.anvandbart.se/ab/certifikat hittar du länkar till några inlägg i debatten.

Autentisering via annat system (single sign-on)

För intranät och för webbplatser som är uppbyggda av flera olika system, är det vanligt att användaren loggar in på ett ställe och sedan autentiseras på de andra systemen därifrån. Detta brukar kallas singelinlogging eller single sign-on (eftersom användaren bara behöver logga in en gång).

Låt någon annan sköta autentiseringen

Att autentisera användaren med samma säkerhet som om hon personligen skulle visa upp ett id-kort är inte trivialt. Det kräver en betydande insats både av användaren (som till exempel måste hämta ut ett rekommenderat brev med lösenordet) och av webbplatsen. Därför är det för många webbplatser inte realistiskt att bygga upp sitt eget system.

Istället håller det på att utvecklas allmänna system. Till exempel bankerna, som var tidigt ute och nu ett gemensamt system kallat BankID , och Posten som har lanserat ett elektroniskt id-kort med inbyggd datorkrets. Andra organisationer kan (mot en avgift) använda dessa för att identifiera sina användare.

Automatisk autentisering

Eftersom många användare använder samma lösenord till olika webbplatser, bör det behandlas med stor varsamhet, även om säkerhetskraven för just din webbplats inte råkar vara så höga.

Sänd aldrig ut ett lösenord användaren formulerat, vare sig i en bekräftelse på att ett användarkonto skapats eller när användaren glömt sitt lösenord.

När ett lösenord skall sändas via e-post, generera ett nytt och sänd det tillsammans med instruktioner om hur man byter till det lösenord man önskar. Om säkerhetskraven är höga, kan det postade lösenordet vara engångs och bara ge tillgång till sidan där man byter lösenord.

Speciellt när användare tagit sin e-postadress som användarnamn kan det finnas behov av att byta ut det utan att förlora användarkontot.

Finns ingen information av värde knutet till kontot, gör det naturligtvis inget om enda sättet att byta namn är att överge sitt användarkonto och starta ett nytt.

Ett vanligt misstag är att råka ha skiftlåset nedtryckt, så att gemener blir versaler och vice versa (det senare dock bara på PC, inte på Macintosh).

Irriterande i vanliga fall, men kan vara direkt vilseledande när användaren skriver i lösenordsfält, där hon inte kan se vad hon skrivit.

Låt därför lösenord vara okänsliga för skillnaden mellan versaler och gemener - alternativt förstå dem även om skiftlåset är nedtryckt (så att ett lösenord som aBCd4w godkänns också om det skrivs AbcD4W eller ABCD4W).

Detta är ett råd vars giltighet beror på vad man tror om användarnas beteende. Om man vill att användarna skall minnas sitt lösenord, inte skriva ner det eller lagra det i datorn, är det korrekt. Om man gett upp och tror att lösenorden ändå lagras, är ett regelbundet bytande inte en jätteansträngning för användaren (om än ett irritationsmoment) och en av de få saker man kan göra för att litet öka säkerheten.

En alternativ metod för lösenordsgeneration är att låta det bestå av tecken som valts på slump. Människor är inte bra på att komma ihåg långa slumpmässiga teckenblandningar, men ett sådant lösenord kan å andra sidan hållas kort. Redan vid tre tecken finns mångdubbelt fler kombinationer än för en fyrsiffrig pinkod, och vid fyra är antalet över en miljon.

Lösenordet bör kunna bestå av både bokstäver och siffror. Använd inte siffrorna 0 och 1 eller bokstäverna o och l, eftersom dessa kan blandas med varandra. Använd inte svenska tecken, om användaren skall kunna logga in från lånedatorer utomlands. Använd enbart små bokstäver (att minnas blandade små och stora bokstäver är väldigt svårt och det är pilligt att skriva in dem i ett lösenordsfält).

Att ha lösenord som enbart består av siffror, så kallade pinkoder, är ett tekniskt mode som inte har någon fördel på en webbplats (om man inte också skall kunna logga in via mobiltelefon).

Ibland behöver webbplatsen generera ett lösenord åt användaren, till exempel för att hon skall kunna logga in och byta till ett eget, eller för att säkerhetspolicyn inte tillåter användaren att välja sitt eget lösenord.

En i mitt tycke underanvänd metod att skapa lösenord (speciellt för det senare fallet) är att kombinera två ord. Detta ger ofta lösenord som är lätta att memorera och med litet tur slipper användaren då besväret att ändra det. Ännu lättare kan man göra det för minnet genom att låta det första ordet vara ett verb och det andra ett substantiv eller ett namn.

Säkerheten beror på antalet ord som kan ingå i kombinationen, men redan med en ordlista på hundra ord ger en tvåordskombination samma säkerhet som en fyrsiffrig pinkod - nästan undantagslöst mer än tillräckligt om webbplatsen har ett system för att upptäcka och blockera upprepade inloggningsförsök.

Med svenskans drygt 10 000 verb och något fler substantiv, 1 000 förnamn och 6 000 ortnamn, torde det inte vara något problem att generera lösenord som ingen gissar i första taget.

Lösenordet bör enbart bestå av små bokstäver (även när de inkluderar namn). Använd inte ord med svenska tecken om användaren skall kunna logga in från lånedatorer utomlands.

Om det är viktigt att användaren inte skriver ner sitt lösenord utan håller det i huvudet, bör hon själv få välja användarnamn och lösenord.

Om det däremot är viktigt att lösenordet inte kan gissas, så bortse från detta råd och generera istället ett lösenord åt henne enligt någon av de två följande.

Eftersom användaren ofta vill använda samma användarnamn och lösenord till flera olika webbplatser bör reglerna för hur de får formuleras vara liberala.

Exakt vad som tillåts blir en kompromiss med tekniken, men om möjligt bör användarnamnet kunna innehålla svenska tecken, punkter, bindestreck, mellanslag och @-tecknet. Det bör tillåtas vara åtminstone 30 tecken långt.

Om användaren väljer ett användarnamn eller lösenord med svenska tecken, påminn henne om att sådana kan vara svåra att använda i utlandet.

Lösenordet bör inte tvingas vara längre än fyra tecken (här kan säkerhetsaspekten dock tvinga fram en högre gräns) och bör helst kunna ha alla sorters tecken i sig.

Att koppla samman en användare med ett användarkonto och kontrollera att användaren har rätt till detta, kallas autentisering (eftersom det kontrollerar att användaren är autentisk).

En alternativ benämning är inloggning (speciellt då autentiseringen sker med lösenord). Legitimering är ett ord som används bland annat av myndigheter för de allra säkraste autentiseringsmetoderna (de med ungefär samma säkerhet som när en människa legitimerar sig med sitt id-kort).

Även identifiering används som synonym. Jag brukar dock undvika det eftersom fler än bara de identifierade användarna har blivit autentiserade.

Alla de olika kändhetsgraderna utom okänd använder autentisering för att hålla reda på användarna. För gäster är det dock något som sessionen sköter om och som sker i tysthet.

Autentiseringen sker egentligen varje gång användaren kommer till en ny sida. Där rycker dock sessionen in och gör att användaren aldrig märker något.

Det finns många olika autentiseringsmetoder. De brukar delas upp i tre grupper, utifrån vad de bygger på:

• något användaren vet – t.ex. lösenord.

• något användaren har – t.ex. en e-postadress, en dator med ett certifikat, ett elektroniskt id-kort, mobiltelefonen.

• användarens kropp – t.ex. en namnteckning eller en bild. Används nästan inte alls i datorernas värld (även om det nu börjar dyka upp persondatorer med fingeravtrycksläsare).

Grader av säkerhet

Det finns många olika sätt att autentisera. Valet av metod måste vara en avvägning mellan hur säker man måste vara på att användaren verkligen är autentisk och behovet av en bekväm process.

Hundraprocentig säkerhet kan aldrig uppnås. Precis som i verkligheten måste man räkna med att det alltid finns en möjlighet att någon kommer på ett sätt att lura systemet.

Lösenord

Ett av de absolut vanligaste sätten att autentisera är att användaren skriver in sitt användarnamn och ett lösenord.

Lösenordens popularitet beror säkert på att de i förhållande till den ansträngning som krävs av webbplats och användare ger hyfsad god säkerhet. Det finns betydligt säkrare metoder, men de innebär också betydligt mer jobb, kostnader och krångel.

Det finns två sätt som ett lösenord kan bli avslöjat på:

• Någon kommer åt det

• Någon gissar det

Krångligt nog kräver dessa angreppsvinklar motsatta och delvis oförenliga säkerhetsåtgärder.

För att undvika den första gäller det att få användaren att inte skriva ner lösenordet utan hålla det i huvudet. Chanserna för detta ökar stort om lösenordet valts av användaren själv, är lätt att komma ihåg, inte ändras och om användaren inte har alltför många olika som hon måste minnas.

För att undvika att lösenordet går att gissa, skall det allra helst bestå av en slumpmässig blandning av siffror och små och stora bokstäver. Det bör i vart fall inte tillåtas vara namnet på användarens katt. För att begränsa skadan om lösenordet ändå skulle avslöjas bör varje webbplats ha sitt eget unika lösenord och dessa bör bytas med jämna mellanrum.

Det första angreppssättet leder till lösenord som ofta är möjliga att gissa och där ett knäckt lösenord på en webbplats ofta öppnar användarens konto även på andra webbplatser.

Eftersom användare är människor, inte minneskonstnärer på en cirkus ¹⁵, leder det andra angreppssättet ofrånkomligen till att många antingen skriver ner lösenordet på en gul postitlapp och sätter på skärmen alternativt sparar i översta skrivbordslådan, eller att de använder webbläsarens säkerhetsvidriga 'kom ihåg lösenordet'-funktion.

Alltför säkra lösningar kan vara osäkra

Vilket av angreppssätten du i första hand väljer att skydda webbplatsen mot måste vara resultatet av en analys av hur viktig säkerheten är, men också av hur och var era användare använder sina datorer. Om en hemanvändare sätter upp lösenordet på en lapp på sin skärm gör det kanske inget alls – och då kan datorgenererade lösenord vara säkrare. Om en kontorsanvändare gör samma sak kan det vara en allvarlig säkerhetsrisk – och då kan metoder med en realistisk syn på användarens beteende vara de säkrare.

Säkerhetsfolk kräver ibland att både och. Att lösenorden skall vara kryptiska och kortlivade och att användarna skall hålla dem i huvudet. Detta är en orealistisk hållning som leder till system som är teoretiskt säkra men i praktiken sårbara. Det är också ett fräckt försök att vältra över ansvaret för en otillräcklig säkerhetslösning på användaren.

Räkna inte med att lösenord ger mer än en medelmåttig säkerhet. Lösenord är en bekväm lösning – men det är farligt att låta denna bekvämlighet locka till att använda dem i situationer som egentligen behöver en högre säkerhet.

Sessioner på webben avslutas när användaren under tid inte gått vidare till en ny sida (eller varit aktiv på något annat sätt som webbservern märker).

Om en inloggad eller identifierad användare vill se en ny sida på webbplatsen efter att sessionen är slut, måste hon autentisera sig på nytt.

Hur lång overksamhet som krävs för att sessionen skall avslutas blir en avvägning mellan bekvämlighet för användaren, säkerhet och i någon liten mån resursbehov.

Nackdelen med snåla system, som koppla ner redan efter kort overksamhet, är att om användaren autentiserar sig manuellt så är de en stor källa till irritation – hon tvingas logga in gång på gång. För användare med funktionshinder som gör att de arbetar långsamt kan detta göra webbplatsen helt otillgänglig.

Risken med generös tid ligger i om användaren lämnar sin dator utan att låsa den och utan att logga ut. Då kan någon annan låna den – och därmed stjäla användarens identitet.

Generös tid gör också att användare som egentligen sedan länge är klara och har lämnat webbplatsen tar upp plats i webbserverns minne. I praktiken är detta dock inte något problem om man inte har extrema mängder besökare.

Min personliga inställning är att tidsgränsen bör sättas mycket generöst, minst tio timmar. Då klarar användaren garanterat en arbetsdag med bara en inloggning, även om hon är borta mycket från datorn. (Om du frågar en säkerhetsmänniska istället för en användbarhetsmänniska är det dock möjligt att du får ett helt annat svar.)

Även med en mer restriktiv inställning bör användaren få minst en halvtimme på sig för att sidan skall kunna sägas vara tillgänglig.

Viktigare för säkerheten än att sätta en snål tid är att förse webbplatsen med en tydlig ”Glöm mig” eller ”Logga ut”-knapp.

En grundläggande mekanism när webbplatsen skall hålla reda på sina användare är sessionen.

En session är ett sammanhängande besök på en webbplats. Det börjar när användaren kommer in på en av webbplatsens sidor och avslutas antingen när användaren inte gjort något under en viss tidsperiod eller när hon stänger sin webbläsare .

Vad webbplatsen gör av sessionen varierar. Den kan till exempel göra statistiken intressantare genom att antalet besökare kan räknas, inte bara antalet visade sidor. Den används också för att användaren skall slippa logga in på nytt för varje ny sida hon går till.

På litet äldre webbplatser kan man fortfarande se en sessionsidentitet påhängt på webbadressen , men i moderna system skapas sessioner nästan uteslutande med hjälp av kakor. Detta kan leda till problem för användare som inte accepterar dem – se Kakor , sid 325 .

Även när webbplatsen vet användarens verkliga namn, händer det att hon tillåts hitta på en signatur, som är det som visas på webbplatsen. Detta är till exempel vanligt för debattforum.

Roll och kändhet

Det är lätt hänt att man blandar ihop roll och kändhet. I själva verket går de inte att skilja från varandra på de lägre kändhetsnivåerna – alla okända användare måste ha samma roll, och även om det är teoretiskt möjligt att ge olika gäster olika roller vet man inte tillräckligt om dem för att det skall vara intressant. Inloggade användare brukar, som nämnts ovan, få en gemensam roll, men det är i praktiken bara för de identifierade som man har specialiserade roller.

Webben är speciell, jämfört med de flesta traditionella datorsystem, på det sättet att där finns en löpande skala för hur känd användaren är. För ett traditionellt system brukar användaren vara antingen okänd eller så har hon loggat in sig och det vet vem hon är. Webbens normaltillstånd är däremot att ta hand om helt okända användare, och även för dem som den vet mer om är det inte säkert att den vet vilka de är utanför webbens värld.

Man kan tala om fyra grader av kändhet. En användare kan vara okänd, gäst, inloggad eller identifierad. Ju bättre en webbplats känner igen henne desto större möjligheter finns att styra behörigheterna.

Känn igen användaren lagom mycket

Varje steg på kändhetstrappan har ett pris, för både webbplats och användare. Det blir krångligare att administrera och krångligare att använda. Det gäller därför att hitta en bra balans mellan nyttan av ytterligare kändhet och det besvär det medför.

Okänd

Om en okänd användare vet webbplatsen absolut ingenting annat än att hon tittar på en sida. Den minns inte om hon varit inne på någon annan sida tidigare och den känner inte igen henne när hon går vidare till en ny sida.

Eftersom det inte finns något sätt att skilja en okänd användare från en annan, har alla användare i denna grupp samma roll .

Observera att en okänd användare mycket väl kan vara någon som webbplatsen egentligen vet mycket om och som har omfattande behörigheter. Den har bara inte känt igen henne ännu.

Gäst

Att låta användare vara okända är numera sällsynt. Ofta skapas omedelbart en session (se sid 309 ) och hon blir istället en gäst. Om inte annat så görs det för statistikens skull.

En teknisk förutsättning för att göra en användare till gäst är hos många system att hon kan (och vill) ta emot en kaka.

En gäst känner webbplatsen bara igen så länge sessionen varar. Nästa gång hon kommer tillbaka kan den inte skilja henne från en helt ny användare.

Ibland används ordet besökare istället för gäst. Även anonym förekommer, men ordet kan förvirra eftersom det är möjligt att känna användaren bättre (se inloggad, nedan) utan att för den skull känna till hennes namn.

Det går att skilja en gäst från en annan, så i princip kan de få olika roller , men i praktiken vet webbplatsen alldeles för litet om dem för att det skall vara meningsfullt att göra det.

Att användaren är en anonym gäst är inte något hinder för att skapa avancerade webbapplikationer.

Många e-handelsplatser behöver inte känna sina användare mer än så. Visserligen måste användaren uppge namn, kreditkortsnummer och liknande uppgifter som en del av sin beställning, men dessa uppgifter kan vara bortglömda nästa gång användaren återvänder.

Inloggad (medlem, autentiserad)

Nästa steg på kändhetstrappan är när webbplatsen känner igen användaren från gång till gång – eller för att vara mer teknisk: från session till session.

För att detta skall vara möjligt måste webbplatsen ha ett bestående minne av användaren – eller, för att bli teknisk igen: ett användarkonto . När användaren kommer måste rätt användare och rätt minne kopplas ihop. Denna sammankoppling kallas autentisering eller inloggning.

Att en användare är inloggad behöver inte betyda att webbplatsen vet något om vem hon i själva verket är. Om det finns en koppling till en verklig person sägs användaren vara identifierad. Mer om det i nästa avsnitt.

Får namn av rollen

Inloggad eller synonymen autentiserad är inte är de enda ord som används för att beskriva denna grad av kändhet. Ofta använder man istället en roll användaren har på webbplatsen (och som blir möjlig i och med inloggningen), till exempel medlem, användare eller kund. Identifierad används också, men jag föredrar att spara det till situationer där man verkligen vet vem användaren är (se nedan).

Ytterligare en källa till förvirring är att autentisering även används av sessionen för att hålla reda på användaren från sida till sida. I det fallet märker hon dock aldrig av den.

Roller

Olika inloggade användare kan ha olika roller. Men eftersom man inte vet vem en inloggad användare är i verkligheten (vet man det så är hon identifierad, se nedan) så finns det sällan anledning att göra skillnad mellan dem.

Däremot kan hon ha omfattande behörigheter för material som hon skapat själv. Till exempel rätten att ändra eller ta bort en sida.

Medvetet och omedvetet inloggad

Det finns två radikalt skilda typer av inloggning.

En medveten inloggad har själv ansökt om att få sitt användarkonto. Alternativt kan hon ha fått det i samband med att hon handlar i en webbutik eller fått det tilldelat när hon börjat på ett nytt jobb. Hon vet om att hon har kontot.

En webbplats kan också i tysthet skapa ett användarkonto för någon, och sedan följa hennes beteende från besök till besök för att så småningom bygga upp en bild av henne, till exempel i syfte att visa annonser anpassade till hennes intressen. I första hand är det surfmönstret som kartläggs, men även vad användaren fyller i i formulär och vad hon handlar kan sparas. Användaren själv behöver inte vara medveten något av detta, utan loggas in med automatiska metoder.

Permanent kaka

Kakor behöver inte försvinna för att en session avslutas, utan kan vara permanenta och ligga kvar på datorn. Det gör att webbplatsen kan känna igen användaren nästa gång hon kommer tillbaka, utan att hon för den skull har ett användarkonto. Det blir då ett slags mellanting mellan att vara gäst och inloggad. Information om henne kan lagras, men den finns inte på webbservern.

Eftersom kakan är knuten till datorn ¹³, inte till användaren, ser alla som använder samma dator på till exempel ett internetcafé likadana ut, och inget finns tillgängligt om användaren skulle gå in på webbplatsen från en annan dator. Därför används permanenta kakor för att spara sådant som inte är säkerhetskänsligt – ofta för inställningar av gränssnittet, till exempel att hon vill se texten med ett större typsnitt.

Se även Berätta hur webbplatsen använder permanenta kakor , sid 326 , om vad som gäller för den.

Identifierad

När webbplatsen vet vem den inloggade användaren är i den verkliga ¹⁴ världen, är hon identifierad.

En förutsättning för identifiering är att användaren är inloggad. Men dessutom krävs att användarkontot har en koppling till en verklig person.

Den uppmärksamme läsaren ser att identifierad inte riktigt är en logisk fortsättning på serien okänd – gäst - inloggad. Rent tekniskt är det ingen skillnad mellan att vara inloggad och att vara identifierad. Ändå är det värt att skilja ut dem, eftersom kopplingen till den verkliga personen ofta har en avgörande betydelse för vad användaren tillåts göra.

Begreppsförvirring

Även kring detta begrepp är förvirringen stor. Identifierad används ofta mindre strängt, ungefär i den betydelse jag använder inloggad. Även autentiserad förekommer som synonym.

Användaridentitet och verklig identitet

För att minska risken för missförstånd är det bra att skilja på användaridentitet – den identitet som användaren har på webbplatsen och som kommer till uttryck i användarkonto och användarnamn – och verklig identitet – den identitet som människan har. För att användaren skall vara identifierad måste användaridentitet och verklig identitet kopplas samman.

Identifiering på dator sker i likhet med identifiering i det vanliga livet ofta i två steg.

I det vanliga livet måste man skaffa ett id-kort. I den processen ingår ett antal krav som skall säkerställa att man inte försöker lura till sig någon annans identitet. Den processen motsvaras i datorns värld av hur ett användarkonto skapas, vilket behandlas på sid 320 .

När man sedan behöver bevisa sin identitet – när man legitimerar sig – krävs tre saker: att man har id-kortet, att man ser ut som fotot samt att man kan skriva namnteckningen likadant. Detta motsvaras av autentiseringen, och behandlas på sid 310 .

Att en användare är identifierad kan göra stor skillnad för vilka behörigheter hon får.

Först och främst så öppnar det möjligheter att göra saker som rör den verkliga personens liv via webben. Till exempel låta henne använda intranätet på företaget där hon är anställd, beställa saker som skall skickas till hemadressen eller ta ut pengar från sitt bankkonto.

Det öppnar också möjligheter att utkräva juridiskt ansvar, vilket till exempel kan vara viktigt på ett diskussionsforum där man vill få deltagarna att avhålla sig från ärekränkning.

Slutligen öppnar identifieringen möjligheter att dela in användarna i olika grupper och ge dem olika roller. En eller några av de anställda på ett företag kan till exempel ha rollen ”redaktör” och med denna få de behörigheter som behövs för att publicera sidor på webbplatsen.

Antalet olika behörigheter som kan ges till en användare är vanligen mycket stort. För att förenkla hanteringen brukar man bunta ihop dem och kalla dem roller. Ur ett rent tekniskt perspektiv är en roll bara en samling behörigheter, men som ordet antyder så sammanfaller detta med den ställning användaren har på webbplatsen – många är vanliga besökare, men några är till exempel administratörer för hela webbplatsen eller en del av den. På e-handels­platser och andra webbar kan man ofta bli medlem och därigenom öka sin behörighet att göra saker. På intranätet kan man ha rollen som anställd, men där finns kanske också avdelningschefer och systemadministratörer. Och så vidare. En användare kan spela flera olika roller, hon kan till exempel vara både läsare och redaktör. Det är vid skapandet av rollerna som de rent tekniska möjligheterna binds ihop med den sociala verkligheten.

Roller ges för ett visst sammanhang – en viss bunt sidor. En användare kan vara redaktör med rätt att ändra alla texter på hela webbplatsen, men kan också vara det bara för en viss avdelning eller bara för sidor hon själv skrivit.

Grundläggande för webbapplikationer och för många andra användningar av webb är förmågan att skilja på folk och folk. Vad olika användare får göra på en webbplats kan variera mycket. Det kan vara öppet för vem som helst att surfa runt på webbplatsen och läsa sidorna samtidigt som bara några få personer har rätt att skapa nya sidor. På ett intranät kan kanske alla medarbetare på företaget läsa och skapa sidor, men ingen utifrån se dem. På en internetbank kan alla läsa reklamsidorna om varför just detta är den bästa banken, de som är kunder läsa aktieanalyser, bara innehavaren av ett konto och några av dem som jobbar på banken (telefonhjälp och säljare) se hur mycket pengar som finns på kontot och bara innehavaren ta ut pengar.

Rätten att se eller göra saker brukar kallas behörighet, alternativt rättighet eller privilegium.

Ett alternativt sätt att skapa webbapplikationer är att använda någon slags multimediateknik, till exempel Flash. På så sätt kan man slippa många av de problem som finns med att bygga bra gränssnitt med vanlig webbteknik – och istället få nya. Det ligger dock utanför området för denna bok.

Tänk på att samma tillgänglighetskrav gäller för multimedia som för resten av webbplatsen. Se Multimedia skall vara lika tillgängligt som annat innehåll, sid 73 .

Ibland är det mycket information som skall matas in i en webbapplikation, och det är inte alltid användaren klarar att göra det vid ett och samma tillfälle. Hon kan till exempel under arbetets gång komma på att hon inte har tillgång till de uppgifter som krävs.

I sådana fall är det uppskattat om det finns en möjlighet att spara den informationen man hittills matat in och slutföra arbetet vid ett senare tillfälle.

Fler råd för webbapplikationer

Det finns även råd i andra delar av boken som är värda att tänka på i sammanhanget:

• När man går från en flik till en annan i ett formulär skall inte inmatningar gå förlorade, sid 136 .

• Ta inte bort webbläsarens kontroller, sid 332 .

• Tillåt att användaren öppnar nya fönster, sid 333 .

• Låt inte upprepade klick på skicka-knappen leda till dubblerad inmatning , sid 262 .

• Kom ihåg användaren länge, sid 309 .

Stör inte användarens arbetsflöde genom att ideligen be henne bekräfta att hon verkligen vill göra det hon säger att hon vill göra.

Så långt möjligt bör det istället finnas en möjlighet för användaren att gå tillbaka och korrigera eller återkalla eventuella misstag. Bakåtknappen bör fungera när man kommer på att man gjort ett misstag och omedelbart vill gå tillbaka och korrigera detta (se Bakåtknapp , sid 202 ).

En viktig del av att kunna skapa och ändra information är möjligheten att kontrollera att det man gjort blivit rätt.

Visserligen finns alltid möjligheten att titta igenom formuläret innan man klickar på OK. Men för de flesta människor är det mycket bättre att få se resultatet av sin handling i en förhandstitt som är så likt slutresultatet som möjligt, eller i en sammanställning.

Förhandstitten används till exempel i publiceringssystem, där den som skapar en sida kan se och kontrollera den innan någon annan ser den.

Sammanställningen är vanlig på till exempel e-handelsplatser, där användaren som sista steg innan hon skickar sin beställning får se vad den omfattar och vad den kostar.

I en del sammanhang kan dock detta extrasteg störa arbetsflödet och vara en irritation. Ett alternativ är då att ge resultatet direkt, men att göra det lätt för användaren att ändra eller ångra ifall något blivit fel.

Tidsfördröjning

En variant av förhandstitten som ibland används i applikationer där användaren inte fritt får ändra eller ta bort information, men där man inte vill störa hennes arbetsflöde, är en tidsfördröjning. Användaren kan se det hon gjort och har en begränsad tid på sig, typ 15 minuter, att reagera på felaktigheter. När sedan tiden gått ut, utan att användaren reagerat, gäller de vanliga reglerna för att ändra eller ta bort.

En vanlig användning av webbapplikationer är informationshantering.

Det finns i grunden bara fyra saker man kan göra med information – skapa den, läsa den, ändra den och ta bort den. För att kunna göra det måste man också kunna hitta den.

Även om detta är en enkel modell, ger den en bra grund för en första rimlighetskontroll av hur väl en webbapplikation fungerar.

För varje bit information, fråga hur…

• …skapar man den?

• …hittar man den?

• …bär man sig åt för att läsa den?

• …ändrar man den?

• …tar man bort den?

Tillsammans med följdfrågan vem får lov att göra det, ger dessa en mycket god bild av applikationens användbarhet.

Det är naturligtvis inte alltid dessa fem hanteringar uppträder som helt skilda saker. Att hitta, ändra och läsa kan helt eller delvis dela samma gränssnitt. Att ändra någonting och att ta bort det, kan ibland vara likartade funktioner.

I en del sammanhang är det inte heller möjligt att göra allting. I ett arkiv eller ett banksystem är det till exempel inte alltid önskvärt att man kan ta bort eller ändra information. I ett publiceringssystem kanske man inte kan ändra i publicerade artiklar – men väl skapa nya versioner av dem.