Gapestokk fikk kjente nettsteder til å stenge hackerhull

Nettsteder uten sikker håndtering av inntastede brukerdata er en gullgruve for crackere. En digital gapestokk har fått flere av de største til å tette igjen hull.

Noe av det nyttigste ved Internettet er muligheten for direkte tilbakemeldinger fra brukerne av et nettsted. Men innkommende brukerdata må håndteres på en sikker måte. Ellers åpner man for et fenomen kjent som "cross-site scripting" eller CSS, det vil si brukere som ikke nøyer seg med å oppgi det nettskjemaet ber om, men i stedet legger igjen ondsinnede skripter. Disse blir til digitale feller for seinere besøkende, og kan føre til en rekke former for skadeverk. CSS-feil er lette å tette igjen, men svært vanskelige å oppdage.


Sikkerhetseksperten David De Vitry så seg lei på at kjente nettsteder drev i måned etter måned med brukerfiendtlig mangel på sikkerhet, og la ut en gapestokk på sin egen hjemmeside, sammen med en demo som ethvert nettsted kan bruke for å sjekke seg selv. Gapestokken inneholdt en oversikt over mange kjente nettsteder innen blant annet nyheter og banktjenester som for lengst var blitt oppmerksomme på egne CSS-feil uten å gjøre noe med det.

Før helgen demonstrerte De Vitry hvordan CSS kunne brukes til å skape en illusjon av at både Washington Post, New York Times og MSNBC rapporterte om en ledende person innen NASA som innrømmet at alle månelandingene var falsknerier. Det førte til at de ansvarlige for nettstedene endelig ryddet opp i CSS-feilene.

Gapestokken har også utløst nytenking blant sikkerhetsansvarlige. eEye Digital Security sier de vil legge inn et vern mot CSS-angrep i sitt produkt SecureIIS, en sikkerhetspakke spesielt beregnet på Microsofts webserver IIS (Internet Information Server).

Til toppen