Skal man bruge to browsere for at være sikker?

Ophavsmanden til det populære web-script-sprog php, dansk-canadieren Rasmus Lerdorf, bruger to browsere, når han er på nettet. En til almindelig surfing og en til bank-transaktioner, køb på nettet og lignende.

Computerworld News Service: Rasmus Lerdorf, der opfandt php, der er et open source sprog, der kan indlejres i html og bruges til at skabe dynamiske sider, benytter sig af det han selv kalder hygiejnisk surfing ved at bruge to browsere på samme tid.

"Det er sindsygt kun at bruge en browser," siger Rasmus Lerdorf.

"Ni ud af ti hjemmesider har cross-site scripting huller," siger han.

Det indbefatter hans nuværende arbejdsplads Yahoo, hvor han arbejder som infrastruktur arkitektur ingeniør. For at beskytte sig selv bruger han Apples Safari til at surfe på personlige sider og Firefox til alt andet.

Leder i sikkerhedsvirksomheden Symantec, Alfred Huger, giver Lerdorf ret i en ting.

"Cross-site scripting sårbarheder står for mange fejl på nettet," siger han.

Cross-site scripting, også kaldet xss, giver angribere mulighed for at indskyde ondsindet html og scripts, både JavaScript og php-scripts, ind på lovlige sider, hvis de er sårbare.

Angrebet afvikles ofte fra en email med et link til en side, der ser ud til at være den ægte vare. I realiteten indeholder linket den ondsindede kode.

Ved at lokke brugere til at klikke på linket kan angriberne indsamle brugernavne, adgansord mens de bliver skrevet eller de kan opsnuse de adgangsord, der er gemt i browseren.

"Hvorfor er to browsere bedre end en?"

"For det første er Rasmus Lerdorf en smart fyr. Det fungerer med to browsere, men kun så længe du bruger en browser til alle de vigtige hjemmesider som din bank og sider, hvor du køber ting, og aldrig bruger den browser til andet," siger Huger.

Ideen er at adskille al den surfing, hvor dine personlige informationer kan risikere at blive udstillet med alle andre web-aktiviteter.

"I teorien har de sider du har tillid til mindre sandsynlighed for at have xss-sårbarheder. Så den browser du bruger til den slags ting er mest sikker," siger Huger.

"Det er slet ikke nogen dum ide. Det er et ekstra sikkerhedsniveau," tilføjer Roger Thompson der er teknologichef i Exploit Prevention Labs.

Teori og praksis

Selvom en ide i teorien er god, så er den måske ikke så smart i praksis, mener begge sikkerhedseksperter.

"Det er ikke godt nok for gennemsnitsbrugeren," siger Huger.

"I virkelighedens verden vil de færreste brugere vide, hvornår de skal bruge den ene browser frem for den anden," siger Thompson.

Ironisk nok, så er det Lerdorfs egen php der er skyld i mange sårbarheder på hjemmesider. Ifølge det danske Secunia, er der fundet otte huller i den nyeste version af php. Seks af hullerne er endnu ikke rettet.

Lerdorf erkender, at phps popularitet og usikkerhed er den del af xss problematikken.

"Der er ikke meget vi kan gøre for at stramme op på php," siger Lerdorf.

Huger giver ham ret.

"Den største del af xss sårbarhederne skyldes programmøren. Amatører forsøger sig ofte med php og nogle gange har det katastrofale følger," siger han.

Oversat af Christian Carlsen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere