Computerworld News Service: Rasmus Lerdorf, der opfandt php, der er et open source sprog, der kan indlejres i html og bruges til at skabe dynamiske sider, benytter sig af det han selv kalder hygiejnisk surfing ved at bruge to browsere på samme tid.
"Det er sindsygt kun at bruge en browser," siger Rasmus Lerdorf.
"Ni ud af ti hjemmesider har cross-site scripting huller," siger han.
Det indbefatter hans nuværende arbejdsplads Yahoo, hvor han arbejder som infrastruktur arkitektur ingeniør. For at beskytte sig selv bruger han Apples Safari til at surfe på personlige sider og Firefox til alt andet.
Leder i sikkerhedsvirksomheden Symantec, Alfred Huger, giver Lerdorf ret i en ting.
"Cross-site scripting sårbarheder står for mange fejl på nettet," siger han.
Cross-site scripting, også kaldet xss, giver angribere mulighed for at indskyde ondsindet html og scripts, både JavaScript og php-scripts, ind på lovlige sider, hvis de er sårbare.
Angrebet afvikles ofte fra en email med et link til en side, der ser ud til at være den ægte vare. I realiteten indeholder linket den ondsindede kode.
Ved at lokke brugere til at klikke på linket kan angriberne indsamle brugernavne, adgansord mens de bliver skrevet eller de kan opsnuse de adgangsord, der er gemt i browseren.
"Hvorfor er to browsere bedre end en?"
"For det første er Rasmus Lerdorf en smart fyr. Det fungerer med to browsere, men kun så længe du bruger en browser til alle de vigtige hjemmesider som din bank og sider, hvor du køber ting, og aldrig bruger den browser til andet," siger Huger.
Ideen er at adskille al den surfing, hvor dine personlige informationer kan risikere at blive udstillet med alle andre web-aktiviteter.
"I teorien har de sider du har tillid til mindre sandsynlighed for at have xss-sårbarheder. Så den browser du bruger til den slags ting er mest sikker," siger Huger.
"Det er slet ikke nogen dum ide. Det er et ekstra sikkerhedsniveau," tilføjer Roger Thompson der er teknologichef i Exploit Prevention Labs.
Teori og praksis
Selvom en ide i teorien er god, så er den måske ikke så smart i praksis, mener begge sikkerhedseksperter.
"Det er ikke godt nok for gennemsnitsbrugeren," siger Huger.
"I virkelighedens verden vil de færreste brugere vide, hvornår de skal bruge den ene browser frem for den anden," siger Thompson.
Ironisk nok, så er det Lerdorfs egen php der er skyld i mange sårbarheder på hjemmesider. Ifølge det danske Secunia, er der fundet otte huller i den nyeste version af php. Seks af hullerne er endnu ikke rettet.
Lerdorf erkender, at phps popularitet og usikkerhed er den del af xss problematikken.
"Der er ikke meget vi kan gøre for at stramme op på php," siger Lerdorf.
Huger giver ham ret.
"Den største del af xss sårbarhederne skyldes programmøren. Amatører forsøger sig ofte med php og nogle gange har det katastrofale følger," siger han.
Oversat af Christian Carlsen
