Microsofts sikkerhets-web

Som en reaksjon på Chaos Computer Clubs avsløringer av mulighetene ActiveX-teknologien gir ondsinnede brukere, har Microsoft opprettet et eget nettsted for sikkerhetsrådgivning.

Microsofts hensikt med det nye webstedet er å gjøre folk oppmerksomme på risikoen de løper ved å laste programvare fra web, og på de løsningene som faktisk finnes innen selskapets programvarearkitektur.

Mye av argumentasjonen til Microsoft bygger rundt det faktum at ActiveX-kontrollen til Chaos Computer Club, som kunne tømt intetanende brukeres bankkonti, ikke hadde et sertifikat som dette:

Dette er et Authenticode-sertifikat utstedt av sertifiseringsorganet VeriSign Commercial Software Publishers. Det forteller at ActiveX-kontrollen Internet Explorer Button Menu Control som du kan tenke deg å laste ned til din maskin, er ekte vare produsert av (i dette tilfellet) Microsoft Corporation, og at programvaren bys på nettet nøyaktig slik som den forelå når den var inne hos VeriSign for sertifisering.

VeriSign er en sertifiseringsinstans. Det betyr at kode sendes dit, sjekkes, og får sertifikatet lagt inn i selve programkoden.

– Hvis noen har manipulert med koden etter at den har vært innom VeriSign, vil sertifikatet fortsatt vises, men med ordet "void" (ugyldig) i store bokstaver, sier Ole Tom Seierstad i Microsoft Norge.

Det betyr at leverandøren selv må sende programmet tilbake til VeriSign ved selv den aller minste oppgraderingen. Hensikten med Authenticode-sertifikatet er å gi brukeren den samme følelsen av sikkerhet som når man kjøper programvare i en fysisk forretning. Også der gjelder leverandørens forbehold mot lus og utilsiktede feil.

– Java lar deg ikke laste ned kode til din maskin, sier Seierstad. Det gir sikkerhet, men begrenser også mulighetene. Chaos kunne gjort det samme med en Netscape plug-in som med en ActiveX-kontroll. Det er viktig å gjøre brukere oppmerksomme på sikkerhetsfarer ved streifing på Internett. Authenticode er et verktøy for å redusere farene gjennom autentisering av opphavet til et program. Chaos-kontrollen var ikke undertegnet gjennom Authenticode, og den var heller ikke sertifisert.

På sitt sikkerhetssted peker Microsoft dessuten på at standardinnstillingen på Internet Explorer er at programmet ikke utfører usignert kode.

– Denne innstillingen kan gjøres om av brukeren. På intranett kan nettadministrator ta på seg å sette bestemte sikkerhetsinnstillinger, som senere ikke kan endres av brukeren, forteller Seierstad.

Stadig flere internasjonale leverandører velger å la VeriSign sertifisere programvaren som de leverer gjennom Web, forteller Seierstad. Men han vet ennå ikke om noen norske...

Til toppen