Ny sikkerhedsopdatering volder problemer

Microsofts seneste sikkerhedsopdatering til Internet Explorer, lukker et hul som kan bruges til svindelmetoden "phishing". Det betyder samtidig, at der lukkes for en bestemt type login til passwordbeskyttede områder.

Phishing er en relativt ny internetbaseret svindelmetode, som går ud på at få brugerne til at afgive bankkonto- og kreditkortsinformation. Det sker typisk ved, at svindlerne ved hjælp af svindel-e-mails og falske internet-sider, udgiver sig som bank eller andre finansielle organisationer.

Mange svindlere har udnyttet en sårbarhed i IE til phishing. Sårbarheden gjorde det muligt at oprette links, som viste forkerte adresser i browserens adressebjælke. Det kunne for eksempel se ud som om, man var inde på sin banks internetside, men i virkeligheden var det en internetside oprettet af svindlerne. Dermed fik svindlerne adgang til bankkonti- og kreditkortsinformation.

For at lukke sårbarheden, har Microsoft været nødsaget til også at lukke for muligheden for at bruge adressebjælken i IE til login. Ved brug af denne type login, indtaster man en adresse, som indeholder brugernavn og password. Den kan se således ud: "http://username:password@www.somecompany.com/program.ext."

Microsoft er klar over problemet, men har af sikkerhedsmæssige hensyn ingen planer om at ændre på det. Ifølge softwaregiganten er det nødvendigt, for at lukke den ovenfor omtalte sårbarhed, og dermed også muligheden for at logge ind via browserens adressebjælke.

Mange programmører er i anledning af den nye sikkerhedsopdatering kommet på overarbejde, for at programmere et nyt login. En repræsentant for Microsoft udtaler, at det skulle give problemer, fordi der er så mange andre metoder, der kan bruges til login.

Initiativet er et eksempel på, at Microsoft udfører en it-sikkerhedspolitik, som for to år siden blev defineret ved udformningen af Trustworthy Computing programmet. Her hedder det sig, at it-sikkerhed i visse tilfælde vil blive prioriteret højere end brugervenlighed.