Slå av JavaScript

Et sikkerhetshull i nettleserne gjør det mulig å observere alle data som er skrevet inn i HTML-forms, få oversikt over alle URLer til tidligere besøkte nettsteder og få ut innholdet i Cookie-filer ved hjelp av JavaScript.

Tirsdag kveld rådet Computer Emergency Responce Team (CERT) igjen alle nettsurfere til å slå av JavaScript funksjonen i nettleseren, siden de nå har oppdaget enda flere sikkerhetshull. Ved hjelp av JavaScript kan brukerens aktiviteter på nettet hentes ut fra maskinen, også når nettleseren befinner seg bak brannmurer eller i "sikre" HTTPS-dokumenter. Det er måten scriptspråket er implementert i nettleserne på som er problemet, ikke JavaScript i seg selv.

Svakheten angår flere nettlesere som støtter JavaScript, deriblant Microsofts Internet Explorer og Netscapes Navigator.

CERT anbefaler at man installerer et tillegg fra leverandørene eller oppgraderer til en versjon som ikke er sårbar for dette problemet så fort de får laget en. Inntil de får gjort dette, anbefaler CERT at man surfer med JavaScript-funksjonen av. JacaScript er et scriptspråk utviklet av Netscape Communications Corp. og må ikke forveksles med Java fra Sun Microsystems.

Å slå av Javafunksjonen i nettleseren vil ikke løse problemet.

JavaScript-programmer lastes ned sammen med HTML-siden og utføres i nettleseren. Her brukes de til interaktivitet med nettleseren og til å overføre informasjon mellom nettleseren og webserveren som ga deg websiden. JavaScript-programmer skal ha begrenset aksess til andre ressurser i nettleseren. Nå har CERT ved hjelp av Vinod Anupam ved Bell Labs, Lucent Technologies analysert problemet og funnet ut at man ved å bruke JavaScript kan observere alle URLer til tidligere besøkte nettsteder, få se alle data som er skrevet inn i HTML-forms, slik som brukernavn, passord og kredittkortnummer, eller hente ut innholdet i Cookie-filer.

Dette kan gjøres selv om nettleseren befinner seg bak en brannmur (dersom JavaScript slippes forbi muren), eller nettleseren leser "sikre" HTTPS dokumenter. HTTPS (HyperText Transport Protocol Secure) er en protokoll for å aksessere sikre webservere. Ved å bruke HTTPS i URLen istedenfor HTTP, blir meldingen sendt til en sikker port som er forskjellig fra standard webadresseport 80.

Det trenger ikke å være opplagt for brukeren at et JavaScript kjøres og det kan være vanskelig eller umulig for brukeren å fastslå om programmet overfører informasjon tilbake til webserveren.

Informasjon om oppdaterte tillegg fra Microsoft og Netscape vil legges ut på deres områder på WWW.

Til toppen