Springbrett til åpne passordlister

Ifølge et innlegg på nyhetsgruppen comp.risks ligger den virkelige faren fra ordningen med logoer til nettstedene i favoritt-lista til Internet Explorer 5 at hackere får nok et springbrett til å oppdage nettjenere med åpne passordlister.

Nok en gang er det en våken leser som har tipset digi.no om et viktig moment i en aktuell sak.

Vi skrev i går om hvordan Microsofts nettleser Internet Explorer 5.0 (IE5) automatisk henter logoer fra nettsteder du legger til favoritt-lista di. Dette er nok et elektronisk spor som kan misbrukes uten at du har anledning til å hindre det.

I ett innlegg til Risks.Digest 20.31comp.risks skriver Robert David Graham at pressen ikke har vært oppmerksom på en bivirkning av ordningen med favoritt-logoer, som synes langt verre enn faren for bevisst misbruk hos favorittnettstedet.

Graham forteller at søk etter "favicon.ico" (standardnavnet på ikon-filen som IE5 søker å laste ned) på et eller annet søkested, for eksempel AltaVista, gir en liste på over 500 nettsteder som lar sine aksesslogger være åpent tilgjengelig.

Loggene til flere av disse nettstedene viser Internett-adressen til CGI-skripter, blant annet dem som håndterer passord. Ved å lete litt, fant Graham to steder der han kunne lese brukernavn og passord. Han legger til at det er enkelt å skrive et program som automatisk skummer gjennom aksessloggene og tapper dem systematisk for enda mer informasjon som normalt skulle holdes internt.

Graham peker på at dette ikke er spesielt for "favicon.ico". Poenget er at mange nettsteder ikke beskytter informasjon om sine brukere, og at systematiske glipp av typen "favicon.ico" gjør søkeverktøy som AltaVista til slagkraftige redskap for hackere.

For egen regning legger vi til at sårbare nettsteder ikke en gang behøver ha en fil kalt "favicon.ico". Filnavnet listes likevel i oversikten over mislykkede nedlastingsforsøk, der det havner hver gang en eller annen legger nettstedet inn i sin favoritt-liste.

Til toppen