Javascript like hullete som en sveitserost

En bulgarsk utvikler med spesiell interesse for websikkerhet, har funnet så mange sikkerhetsfeil i JavaScript at Netscape og Microsoft mer eller mindre anbefaler brukerne å skru av støtten for programmeringsspråket.

JavaScript har i langt tid vært et nyttig og enkelt verktøy for å utvikle dynamiske websider. Men det viser seg nå at programmeringsspråket er omtrent like fullt av sikkerhetshull som en gjennomsnittlig sveitserost.

Georgi Guninski er en bulgarsk utvikler som bruker store deler av sin fritid til å lete etter sikkerhetshull i JavaScript, først og fremst i forbindelse med Netscapes Navigator-nettleser. Årsaken til dette er at Netscape har utlovet en dusør på 1000 dollar til den som kan finne feil i JavaScript, og Guninski har funnet et betydelig antall.

Hullene muliggjør aksess til forskjellig typer informasjon på brukernes maskin. Blant annet kan ondsinnede websideprogrammerere finne og lese innholdet i navngitte filer på brukernes harddisker. De fleste feilene muliggjør uautorisert aksess til Windows-baserte maskiner, men flere av hullene eksisterer i Netscape-utgaver til andre plattformer, for eksempel Linux.

Både Netscape og Microsoft har bekreftet de feilene Guninski hittil har funnet. Foreløpig anbefaler de to selskapene brukerne å skru av støtten for JavaScript, samt å unngå nettsteder brukerne ikke vet at er seriøse. Selskapene vil rette opp feilene i kommende utgaver av nettleserne.

En oversikt over feilene, samt små demoprogrammer, finnes på Guninskis hjemmesider. En peker dit finner du nedenfor artikkelen.

JavaScript er et programmeringsspråk utviklet av Netscape for automatisk å utføre hendelser på en webside. Det har - til tross for navnet - ingenting med Suns Java-programmeringsspråk å gjøre.

Til toppen