Det er ikke kun bugtalere, der kan skabe en illusion af, at det er en anden person, der taler. Et generelt problem med Javascript kan også få betroede websteder til at se ud til at ville i dialog med brugeren.
Det danske sikkerhedsfirma Secunia har fundet en svaghed i Javascript, som findes i alle større browsere.
For at udnytte svagheden skal brugeren dog selv foretage en række handlinger, og derfor vurderer Secunia selv sårbarheden til at være mindre kritisk.
Et ondsindet websted kan udnytte sårbarheden ved at lave et link til et websted, som brugeren forventes at have tillid til. I Secunias demonstration af svagheden er det et link til søgemaskinen Google.
Når brugeren aktiverer linket, aktiverer han samtidig et javascript, som har en indbygget forsinkelse. Efter det pålidelige websted er indlæst i browservinduet, dukker Javascript-dialogboksen op.
Boks uden afsender
Dermed kan brugeren narres til at tro, at dialogboksen stammer fra det websted, som brugeren har stor tillid til og derfor er mere villig til at udlevere oplysninger til.
Sådan en svaghed er oplagt at udnytte til eksempelvis phishing-forsøg eller installation af spyware.
Af dialogboksen fremgår det nemlig ikke, hvilket websted boksen stammer fra, eller hvor de indtastede oplysninger sendes til.
Da der ikke er tale om et decideret sikkerhedshul er der ingen sikkerhedsopdateringer fra browserfirmaerne. I stedet anbefaler Secunia, at man ikke besøger websteder, man ikke har tillid til.
Svagheden findes ifølge Secunia i både Internet Explorer, Mozilla, Firefox, Safari, Camino og Opera.
Relevant link
