CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon

Microsoft vil lukke browser-hul

Microsoft bøjer sig nu for kritik og lukker en funktion i Internet Explorer, som gør det muligt at forfalske URL-adresser.

30. januar 2004 kl. 14.24
Rikke Sternberg Rikke Sternberg

Indhold

Opdateret 3. februar. Efter flere advarsler fra danske Secunia har Microsoft valgt at forberede en sikkerhedslapning, så det ikke længere er muligt at lave falske URL-adresser i browser-vinduet.

Ifølge nyhedstjenesten Cnet betyder rettelsen, at virksomheder ikke længere kan give medarbejdere, kunder og forretningsforbindelser enkel adgang til deres servere ved at skrive brugernavn og adgangskode ind i selve internetadressen, URL'en.

Den funktion benytter webudviklere i begrænset omfang, således at brugeren via et klik på linket automatisk logges ind på en ellers adgangsbegrænset side, eksempelvis et intranet.

Men problemet er, at denne feature ikke bruges til at lokalisere den specifikke webside. Derfor kan angribere maskere en del af URL?en, så folk tror, at de besøger et andet websted end det, som de rent faktisk har surfet ind på.

- Og det er rigtig skidt, for selv om du prøver på at finde ud af, hvilket websted du er på vej hen til, så er det ikke muligt, siger Russ Cooper, redaktør af sikkerheds-nyhedsbrevet NTBugtraq, til Cnet.

Sikkerhedsbristen fungerer på denne måde: Den faktiske URL, som vises i adressefeltet, når man klikker på linket, ser eksempelvis således ud: http://username:password@server/ressource.ext.

Browseren benytter sig af den del af URL-linjen, som står til højre for @-symbolet til at finde den pågældende webside. Alt det, som står til venstre for @-tegnet, bruges til at validere brugeren.

Hvis der ikke findes en validerings-mekanisme på den side, som brugeren sendes til, så bliver starten af URL-linjen blot ignoreret. Linket www.computerworld.dk@pcworld.dk sender således ikke brugeren til Computerworld Online, men derimod til PC World.

Det er ingen katastrofe, hvis det - som i overnævnte tilfælde - er muligt at se, hvor man havner henne. Men angribere kan forfalske Internet Explorers adresselinie, så det ser ud, som om man rent faktisk befinder sig på det ønskede websted, selv om det ikke er tilfældet.

Rettelsen vil derfor ikke længere tillade, at password-funktionen bliver indlejret i URL'en. Den får derimod ingen indflydelse på den funktion, som brugeren kan udnytte til at lade Explorer gemme og huske et password til et givent websted.

Microsoft har nu udsendt denne rettelse. Den installeres automatisk via Windows Update. Der er mere information om rettelsen hos Microsoft.

Denne artikel stammer fra Computerworld Online.




Navnenyt fra it-danmarkVis alle »
Kåre Kjelstrøm
Kåre Kjelstrøm
Nicolai Grymer
Nicolai Grymer
Maxime Birkkjær Havez
Maxime Birkkjær Havez
Aleksander Kokholm Jensen
Aleksander Kokholm Jensen

Ulf Molich
Ulf Molich
Hjalte Andreas Sparvath Brautsch
Hjalte Andreas Sparvath Brautsch
Jakob Holm
Jakob Holm
Kim Døsing Sørensen
Kim Døsing Sørensen


 
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her
Kommende events
AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere

Computerworld Cloud & AI Festival 2025

Med den eksplosive udvikling indenfor cloud & AI er behovet for at følge med og vidensdeling større end nogensinde før. Glæd dig til to dage, hvor du kan netværke med over 2.400 it-professionelle, møde mere end 50 it-leverandører og høre indlæg fra +90 talere. Vi sætter fokus på emner som AI; infrastruktur, compliance, sikkerhed og løsninger for både private og offentlige organisationer.

17. september 2025 | Læs mere

IT og OT i harmoni: Sikring uden at gå på kompromis med effektiviteten

IT og OT smelter sammen – men med risiko for dyre fejl. Få metoder til sikker integration med ERP, kundesystemer og produktion. Tilmeld dig og få styr på forskellene og faldgruberne.

24. september 2025 | Læs mere

Se flere events »

White papers
Flere white papers »


Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Michael Cade
Michael Cade
Mogens Nørgaard
Mogens Nørgaard
Henrik Hedegaard
Henrik Hedegaard
Mogens Nørgaard
Mogens Nørgaard
David Guldager
David Guldager
Erik David Johnson
Erik David Johnson
Jim Nielsen
Jim Nielsen
Kirsten Hede
Kirsten Hede og Frederik Jørgensen
opinion
Michael Cade
Michael Cade
Datasuverænitet er på vej – men uden dataportabilitet mister virksomheder kontrollen
Læs indlæg
Artikel teaser billede

Mogens Nørgaard

Nørgaard: Det er 100 procent sikkert, at Aarhus' nye AI bliver en bragende succes

Artikel teaser billede

Henrik Hedegaard

Trumps retorik er luret - men kampen om databeskyttelse skal fortsætte

Artikel teaser billede

Mogens Nørgaard

Nørgaard: Jeg bliver nødt til at sige inderligt og dybtfølt undskyld til mainframen

Artikel teaser billede

David Guldager

Guldager: På europæisk sommerferie i elbilen - med apps fra helvede

Mest læste klummer og blogs
Guldager: På europæisk sommerferie i elbilen - med apps fra helvede
Klumme: Man kan hurtigt komme i tvivl om fremtidens vision for et eldrevet bilsamfund, hvis man tager på langfart i elbil. Sommerens bilferie har i hvert fald fået mig til at overveje, hvor vi egentlig befinder os på skalaen: Selvkørende genial fremtid eller tilbage til hestekærren.
Af: David Guldager
Trumps retorik er luret - men kampen om databeskyttelse skal fortsætte
Klumme: På overfladen er den værste tech-trussel fra USA drevet over, men kampen for frigørelse af amerikansk afhængighed og øget dataejerskab bør dog fortsætte.
Af: Henrik Hedegaard
Nørgaard: Jeg bliver nødt til at sige inderligt og dybtfølt undskyld til mainframen
Klumme: Det er selvfølgelig ikke i orden at svine en mainframe til, når den faktisk er uskyldig.
Af: Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Nørgaard: Det er 100 procent sikkert, at Aarhus' nye AI bliver en bragende succes
opinion Erik David Johnson
Forbi GPT-5: Mod selvudviklende verdensmodeller
Læs indlæg

Premium
Teaser billede
Derfor er disse tre CISO'er de bedste i Danmark: Sådan griber de sikkerheden an
Læs mere »
Her er Danmarks tre bedste CISO'er lige nu: De er med i opløbet om at blive Årets CISO 2025
Fire år efter køb: Twoday sælger IT Minds tilbage til stifter Jonas Vognsen - 100 medarbejdere følger med
Kontrol af Netcompanys arbejdsmiljø på vej: Overholdes alle regler?
Se alle »
Computerworld
Teaser billede
Microsoft trodser sine egne systemkrav: Windows 10-brugere tilbydes uventet Windows 11-opgradering
Læs mere »
For bare et år siden var det her en af årtiets mest banebrydende Windows-pc’er – men virkeligheden er en anden nu
Test: En øjenåbner for mig - dette lille apparat kan gøre en stor forskel
Apple klar med nye AirPods Pro 3 om få måneder – fans raser over ny funktion
Se alle »
CIO
Teaser billede
Han styrer sikkerheden for mere end 10.000 ansatte: En særlig gimmick har vist sig at have stor effekt
Læs mere »
ERP-kæmpe ramt af stort databrud: Er faldet i samme fælde som Pandora og Google
Ny opdatering lammer systemgendannelse i stribe af Windows-versioner
Her er vinderne: Kæmpe aftale om telefoni og data til flere milliarder kroner på plads
Se alle »
Job & Karriere
Teaser billede
Lille dansk it-virksomhed fra Vanløse lander drømmekontrakt, der rækker langt ind i stifterens pension
Læs mere »
Her er fidusen: Sådan fastholder KMD og Twoday deres it-folk i lang tid
Medarbejderflugt? Disse danske it-selskaber har sværest ved at holde på deres it-folk
Næstkommanderende i DSV's kæmpe it-afdeling siger farvel og tak: Skifter til topstilling i dansk transport-kæmpe
Se alle »
White paper
Teaser billede
Sådan får du succes med AI i hele organisationen
Læs mere »
Sikre og skalerbare datacentre med fokus på drift, energi og fremtid
Udnyt Genesys Cloud CX optimalt og styrk kundeoplevelsen
AI og kunderejsen: Sådan vinder du fremtidens forbrugere
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »