Søg

Microsoft vil lukke browser-hul

Microsoft bøjer sig nu for kritik og lukker en funktion i Internet Explorer, som gør det muligt at forfalske URL-adresser.

30. januar 2004 kl. 14.24
Rikke Sternberg Rikke Sternberg

Indhold

Opdateret 3. februar. Efter flere advarsler fra danske Secunia har Microsoft valgt at forberede en sikkerhedslapning, så det ikke længere er muligt at lave falske URL-adresser i browser-vinduet.

Ifølge nyhedstjenesten Cnet betyder rettelsen, at virksomheder ikke længere kan give medarbejdere, kunder og forretningsforbindelser enkel adgang til deres servere ved at skrive brugernavn og adgangskode ind i selve internetadressen, URL'en.

Den funktion benytter webudviklere i begrænset omfang, således at brugeren via et klik på linket automatisk logges ind på en ellers adgangsbegrænset side, eksempelvis et intranet.

Men problemet er, at denne feature ikke bruges til at lokalisere den specifikke webside. Derfor kan angribere maskere en del af URL?en, så folk tror, at de besøger et andet websted end det, som de rent faktisk har surfet ind på.

- Og det er rigtig skidt, for selv om du prøver på at finde ud af, hvilket websted du er på vej hen til, så er det ikke muligt, siger Russ Cooper, redaktør af sikkerheds-nyhedsbrevet NTBugtraq, til Cnet.

Sikkerhedsbristen fungerer på denne måde: Den faktiske URL, som vises i adressefeltet, når man klikker på linket, ser eksempelvis således ud: http://username:password@server/ressource.ext.

Browseren benytter sig af den del af URL-linjen, som står til højre for @-symbolet til at finde den pågældende webside. Alt det, som står til venstre for @-tegnet, bruges til at validere brugeren.

Hvis der ikke findes en validerings-mekanisme på den side, som brugeren sendes til, så bliver starten af URL-linjen blot ignoreret. Linket www.computerworld.dk@pcworld.dk sender således ikke brugeren til Computerworld Online, men derimod til PC World.

Det er ingen katastrofe, hvis det - som i overnævnte tilfælde - er muligt at se, hvor man havner henne. Men angribere kan forfalske Internet Explorers adresselinie, så det ser ud, som om man rent faktisk befinder sig på det ønskede websted, selv om det ikke er tilfældet.

Rettelsen vil derfor ikke længere tillade, at password-funktionen bliver indlejret i URL'en. Den får derimod ingen indflydelse på den funktion, som brugeren kan udnytte til at lade Explorer gemme og huske et password til et givent websted.

Microsoft har nu udsendt denne rettelse. Den installeres automatisk via Windows Update. Der er mere information om rettelsen hos Microsoft.

Denne artikel stammer fra Computerworld Online.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    TV2

    Identity Provider Specialist til IAM-teamet

    Fyn

    Banedanmark

    Projektleder til IT-sikkerhed

    Københavnsområdet

    Netcompany A/S

    Linux Operations Engineer

    Københavnsområdet

    Netcompany A/S

    Microsoft Operations Engineer

    Københavnsområdet

    Se flere it-stillinger
    Samarbejde mellem AI og mennesker styrker sikkerheden Samarbejde mellem AI og mennesker styrker sikkerheden
    Whitepaper
    Samarbejde mellem AI og mennesker styrker sikkerheden
    Arctic Wolf Threat Report 2026: Sådan ændrer ransomware-landskabet sig Arctic Wolf Threat Report 2026: Sådan ændrer ransomware-landskabet sig
    Whitepaper
    Arctic Wolf Threat Report 2026: Sådan ændrer ransomware-landskabet sig
    E-fakturering bliver et krav – er din forretning klar? E-fakturering bliver et krav – er din forretning klar?
    Whitepaper
    E-fakturering bliver et krav – er din forretning klar?
    Se flere whitepapers

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Netip A/S har pr. 1. februar 2026 ansat Henrik Mejnhardt Nielsen som ny kollega til Product Sales Teamet i Herlev. Han kommer fra en stilling som Business Development Manager hos Arrow. Nyt job

    Henrik Mejnhardt Nielsen

    Netip A/S

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Se mere fra navnenyt

    Mest læste

    1 DJI gør det igen: Skal du have din første drone, bør det være denne
    2 Hannah gav AI-agent fri adgang til sit kreditkort som et eksperiment - og det gik rigtigt hurtigt helt galt
    3 Nørgaard: Hvorfor bruger vi egentlig ikke europæiske AI-modeller? Kan det mon være fordi, at de er elendige?
    4 Nogle gange vil Chrome al hemmelighed downloade fire gigabyte på din computer: Her er forklaringen
    5 Er stærkt bekymret: Store kommunale it-centre vil kunne dræne hele landsdelen for dygtige folk
    6 Nye hacker-metoder breder sig - og det har ramt CEO Claus Holmgaard efter angreb: "Jeg er paranoid for tiden," siger han
    7 Samsung tjener styrtende på AI: Ansatte kræver deres del af kagen - ellers venter dyr strejke
    8 Guide: Her er de fire greb der gør Claude og ChatGPT meget skarpere

    Se seneste uge