Søg

Microsoft vil lukke browser-hul

Microsoft bøjer sig nu for kritik og lukker en funktion i Internet Explorer, som gør det muligt at forfalske URL-adresser.

30. januar 2004 kl. 14.24
Rikke Sternberg Rikke Sternberg

Indhold

Opdateret 3. februar. Efter flere advarsler fra danske Secunia har Microsoft valgt at forberede en sikkerhedslapning, så det ikke længere er muligt at lave falske URL-adresser i browser-vinduet.

Ifølge nyhedstjenesten Cnet betyder rettelsen, at virksomheder ikke længere kan give medarbejdere, kunder og forretningsforbindelser enkel adgang til deres servere ved at skrive brugernavn og adgangskode ind i selve internetadressen, URL'en.

Den funktion benytter webudviklere i begrænset omfang, således at brugeren via et klik på linket automatisk logges ind på en ellers adgangsbegrænset side, eksempelvis et intranet.

Men problemet er, at denne feature ikke bruges til at lokalisere den specifikke webside. Derfor kan angribere maskere en del af URL?en, så folk tror, at de besøger et andet websted end det, som de rent faktisk har surfet ind på.

- Og det er rigtig skidt, for selv om du prøver på at finde ud af, hvilket websted du er på vej hen til, så er det ikke muligt, siger Russ Cooper, redaktør af sikkerheds-nyhedsbrevet NTBugtraq, til Cnet.

Sikkerhedsbristen fungerer på denne måde: Den faktiske URL, som vises i adressefeltet, når man klikker på linket, ser eksempelvis således ud: http://username:password@server/ressource.ext.

Browseren benytter sig af den del af URL-linjen, som står til højre for @-symbolet til at finde den pågældende webside. Alt det, som står til venstre for @-tegnet, bruges til at validere brugeren.

Hvis der ikke findes en validerings-mekanisme på den side, som brugeren sendes til, så bliver starten af URL-linjen blot ignoreret. Linket www.computerworld.dk@pcworld.dk sender således ikke brugeren til Computerworld Online, men derimod til PC World.

Det er ingen katastrofe, hvis det - som i overnævnte tilfælde - er muligt at se, hvor man havner henne. Men angribere kan forfalske Internet Explorers adresselinie, så det ser ud, som om man rent faktisk befinder sig på det ønskede websted, selv om det ikke er tilfældet.

Rettelsen vil derfor ikke længere tillade, at password-funktionen bliver indlejret i URL'en. Den får derimod ingen indflydelse på den funktion, som brugeren kan udnytte til at lade Explorer gemme og huske et password til et givent websted.

Microsoft har nu udsendt denne rettelse. Den installeres automatisk via Windows Update. Der er mere information om rettelsen hos Microsoft.

Denne artikel stammer fra Computerworld Online.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Jyske Bank

    Analytiker til forretningsudvikling

    Midtjylland

    Erhvervsakademi København

    Specialist med fokus på GDPR og informationssikkerhed (fuldtid)

    Københavnsområdet

    TV2

    Software Engineer til Lead Generation & Sign-up i TV 2

    Fyn

    TV2

    Android App Developer til TV 2

    Fyn

    Se flere it-stillinger
    Edge computing: behandling ved kilden

    Annonceindlæg fra DE-CIX

    Edge computing: behandling ved kilden

    Edge computing revolutionerer den måde, data behandles på, ved at bringe kapacitet og ydeevne tættere på dér, hvor der er behov for det.

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. oktober 2025 ansat Huy Duc Nguyen som Developer ERP. Han skal især beskæftige sig med at bidrage til at udvikle, bygge og skræddersy IT-løsninger, der skaber vækst og succes i vores kunders forretninger. Han kommer fra en stilling som Software Developer hos Navtilus. Han er uddannet i bioteknologi på Aalborg University. Nyt job

    Huy Duc Nguyen

    Norriq Danmark A/S

    IT Confidence A/S har pr. 1. oktober 2025 ansat Henrik Thøgersen som it-konsulent med fokus på salg. Han skal især beskæftige sig med rådgivende salg, account management og udvikling af kundeporteføljer på tværs af it-drift, sikkerhed og cloud-løsninger. Han kommer fra en stilling som freelancer i eget firma og client manager hos IT Relation og IT-Afdelingen A/S. Han er uddannet elektromekaniker. Han har tidligere beskæftiget sig med salg af it-løsninger, account management, it-drift og rådgivning samt undervisning og ledelse. Nyt job

    Henrik Thøgersen

    IT Confidence A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Netip A/S har pr. 19. august 2025 ansat Marck Stadel Klaris som Datateknikerelev ved netIP's kontor i Herning. Nyt job

    Marck Stadel Klaris

    Netip A/S

    Se mere fra navnenyt

    Mest læste

    1 Snart kan det være slut med irriterende passwords – nyt alternativ stormer frem
    2 Stortest af mobilt bredbånd: Vi giver denne router fra Telenor vores sjældne topkarakter - er foran langt de fleste andre 5G-løsninger
    3 Staten beholder evighedsaftale: Dropper alle planer om at sende sit kæmpe Microsoft-system Navision Stat i udbud
    4 Nørgaard: Bestyrelsen i mit nye firma nægter at være bestyrelse
    5 Morgen-briefing: Falske hr- og it-mails lokker flest i fælden / Netbank runder to millioner kunder i Norden / Andel får en direktør for beredskab
    6 Elon Musks utrolige lønpakke er godkendt: Kan få en billion dollar, hvis disse mål for Tesla opfyldes
    7 Ny tendens breder sig ved frontlinjen i Ukraine - nu advarer anerkendt it-sikkerhedsekspert: ”Ingen vil bryde sig om det næste skridt"
    8 Gard Thomassen vil som it-direktør væk fra Microsoft - men det er en kompliceret proces: "Vi vil gerne nå derhen, men det er en lang vej"

    Se seneste uge