Programmøren Bennett Haselton afslørede forleden et sikkerhedshul i Netscape Navigator browseren, som kan bruges til at stjæle filer fra brugerens computer. Gennem den såkaldte "File Upload" funktion, der gør det muligt at sende filer til servere over nettet, kan brugeren uden at vide det komme til at sende indholdet af vigtige filer til hackere. Haselton's trick består i at bede brugeren om at indtaste en tilsyneladende harmløs tekst i en formular. Et JavaScript-program filtrerer så en række tegn fra, så de resterende bogstaver danner navnet på den fil, som skal hentes. Dette kræver dog, at hackeren kender navnet på filen.
En demonstration af fejlen kan ses på http://www.peacefire.org/readfile/.
Bennett Hasselton er amerikaner, men har boet i Danmark en del af sit liv. I et interview fortæller han om sikkerhedshullet i Netscape-browseren.
ComON: Kan du kort beskrive det sikkerhedshul, som du fandt i Netscape Navigator?
Bennett: Sikkerhedshullet gør det muligt at læse enhver fil på personens harddisk, hvis du kender stien til filen og bruger Netscape Communicator 4.x. Mange programmer gemmer hemmelige informationer såsom kodeord i filer der altid ligger det samme sted på brugerens harddisk, så dette sikkerhedshul kunne udnyttes til at hente brugerens kodeord og andre hemmelige informationer.
ComON: Hvor alvorlig er denne sikkerhedsbrist? Hvordan kunne den blive udnyttet?
Bennett: På demonstrationssiden bliver brugeren bedt om at indtaste en "standardtekst" præcist, bogstav for bogstav - ellers fungerer det ikke. Det kan måske se mærkeligt ud, for nogle mennesker, men der er nok ingen der kunne forestille sig at de hermed gør det muligt for andre at hente filer på deres harddisk.
ComON: Hvordan opdagede du denne sikkerhedsfejl? Ledte du målrettet efter svagheder i browseren?
Bennett: Jeg vidste at det var muligt at uploade filer fra din harddisk i forbindelse med formularer i Netscape. Jeg vidste også, at der var truffet forskellige foranstaltninger, der skulle beskytte brugeren mod at uploade filer ved et "uheld", men her var altså en foranstaltning som åbenbart var blevet overset.
ComON: Hvordan reagerede Netscape på afsløringen?
Bennett: De sagde at de ville rette problemet. Fremover, når du skal til at uploade en fil fra din harddisk, kommer en advarselsdialog frem på din skærm.
ComON: Er der et generelt sikkerhedsproblem med browsere som Internet Explorer og Netscape Navigator? Er programmerne ikke sikre nok?
Bennett: Jeg mener at de er sikre nok for de fleste brugere. I de fleste tilfælde er det mere sandsynligt, at informationerne på din computer bliver stjålet af en tyv, der er brudt ind i dit hus, end af en hacker, der udnytter et hul i browseren til at læse dine filer over Internet. Men hvis du arbejder i et meget sikkert miljø, eksempelvis en stærkt beskyttet regeringsbygning, kan det godt være, at du skulle bekymre dig mere om sikkerhedshul i browserne end fysiske indbrud.
ComON: Tror du, at vi kommer til at opleve mange flere sikkerheds-problemer i forbindelse med Internet-browserne?
Bennett: Ja - men for de fleste mennesker er risikoen for at blive ramt meget lille. Der er meget større risiko for, at computeren bliver stjålet af en indbrudstyv, eller at man kommer til at hente et program med en virus fra Internet.
ComON: Hvad er din anbefaling til bekymrede Internet-brugere, som er bange for misbrug af data på nettet?
Bennett: De fleste mennesker har ingen grund til at bekymre sig. Men hvis informationerne på deres computer har en værdi af flere millioner dollars, bør man nok sikre, at man ikke stoler på sin browser mere end man burde.
