Søg

Microsoft vil lukke browser-hul

Microsoft bøjer sig nu for kritik og lukker en funktion i Internet Explorer, som gør det muligt at forfalske URL-adresser.

30. januar 2004 kl. 14.24
Rikke Sternberg Rikke Sternberg

Indhold

Opdateret 3. februar. Efter flere advarsler fra danske Secunia har Microsoft valgt at forberede en sikkerhedslapning, så det ikke længere er muligt at lave falske URL-adresser i browser-vinduet.

Ifølge nyhedstjenesten Cnet betyder rettelsen, at virksomheder ikke længere kan give medarbejdere, kunder og forretningsforbindelser enkel adgang til deres servere ved at skrive brugernavn og adgangskode ind i selve internetadressen, URL'en.

Den funktion benytter webudviklere i begrænset omfang, således at brugeren via et klik på linket automatisk logges ind på en ellers adgangsbegrænset side, eksempelvis et intranet.

Men problemet er, at denne feature ikke bruges til at lokalisere den specifikke webside. Derfor kan angribere maskere en del af URL?en, så folk tror, at de besøger et andet websted end det, som de rent faktisk har surfet ind på.

- Og det er rigtig skidt, for selv om du prøver på at finde ud af, hvilket websted du er på vej hen til, så er det ikke muligt, siger Russ Cooper, redaktør af sikkerheds-nyhedsbrevet NTBugtraq, til Cnet.

Sikkerhedsbristen fungerer på denne måde: Den faktiske URL, som vises i adressefeltet, når man klikker på linket, ser eksempelvis således ud: http://username:password@server/ressource.ext.

Browseren benytter sig af den del af URL-linjen, som står til højre for @-symbolet til at finde den pågældende webside. Alt det, som står til venstre for @-tegnet, bruges til at validere brugeren.

Hvis der ikke findes en validerings-mekanisme på den side, som brugeren sendes til, så bliver starten af URL-linjen blot ignoreret. Linket www.computerworld.dk@pcworld.dk sender således ikke brugeren til Computerworld Online, men derimod til PC World.

Det er ingen katastrofe, hvis det - som i overnævnte tilfælde - er muligt at se, hvor man havner henne. Men angribere kan forfalske Internet Explorers adresselinie, så det ser ud, som om man rent faktisk befinder sig på det ønskede websted, selv om det ikke er tilfældet.

Rettelsen vil derfor ikke længere tillade, at password-funktionen bliver indlejret i URL'en. Den får derimod ingen indflydelse på den funktion, som brugeren kan udnytte til at lade Explorer gemme og huske et password til et givent websted.

Microsoft har nu udsendt denne rettelse. Den installeres automatisk via Windows Update. Der er mere information om rettelsen hos Microsoft.

Denne artikel stammer fra Computerworld Online.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Region Midtjylland

    Skarpe controllere til en digital organisation i bevægelse

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Form fremtidens IT-serviceplatform - søg stillingen som Change Manager i Cyberdivisionen, Hvidovre

    Københavnsområdet

    Aller Media A/S

    Salesforce Administrator & Application Specialist

    Uspecificeret arbejdssted

    KMD A/S

    DevOps Engineer

    Nordjylland

    Se flere it-stillinger
    Strategisk It-sikkerhedsdag 2026 - Aarhus

    Event: Strategisk It-sikkerhedsdag 2026 - Aarhus

    Sikkerhed | Aarhus C

    Få overblik over cybersikkerhedens vigtigste teknologier, trusler og strategiske valg. Hør skarpe oplæg om AI-risici, forsvar, compliance og governance. Vælg mellem tre spor og styrk både indsigt og netværk. Deltag i Aarhus 22. januar.

    22. januar 2026 | Gratis deltagelse

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. november 2025 ansat Christian Homann som Projektleder ved netIP's kontor i Thisted. Han kommer fra en stilling som Digitaliseringschef hos EUC Nordvest. Han er uddannet med en Cand.it og har en del års erfaring med projektledelse. Nyt job

    Christian Homann

    Netip A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    EG Danmark A/S har pr. 1. december 2025 ansat Søren Jermiin Olesen som Senior Product Manager. Han skal især beskæftige sig med finans- og debitorstyring i det offentlige med ansvar for økonomistyringssystemet EG ØS Indsigt. Han kommer fra en stilling som Product Manager hos KMD A/S. Han er uddannet Cand. oecon. Han har tidligere beskæftiget sig med økonomi bl.a. i Aarhus Kommune og været med til at udvikle NemØkonom før og efter salget til KMD. Nyt job

    Søren Jermiin Olesen

    EG Danmark A/S

    Netip A/S har pr. 1. november 2025 ansat Laura Bøjer som Consultant, GRC & Cybersecurity på afd. Thisted. Hun kommer fra en stilling som Assistant Consultant hos PwC i Hellerup. Hun er uddannet med en kandidat i Business Administration & Information System på Copenhagen Business School. Nyt job

    Laura Bøjer

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Hackerangreb rammer dansk a-kasse med 86.000 medlemmer: Cpr-numre og personlige oplysninger i fare for misbrug
    2 En af Danmarks første store it-iværksættere er død: Byggede stor computerfabrik i Ballerup og leverede teknologi til F16-fly
    3 Netcompany og NNIT vinder kæmpeopgaver: Skal løse centrale it-opgaver i staten for op mod 365 millioner kroner
    4 Vil du have fuldt udbytte af AI, så skal du lære dette nye begreb
    5 Dansk pensionskæmpe køber op i hemmelighedsfuld it-komet fra Aalborg
    6 Apple får stor bøde på grund af særlig privacy-feature på iPhone
    7 Flygiganten Airbus vil flytte sin kritiske it-systemer til en suveræn europæisk cloud: På vej med stort udbud
    8 Google køber energiselskab for 30 milliarder kroner

    Se seneste uge