Explorer-turvapäivitys sekoitti web-palveluja
0
Microsoft on saanut sekä risuja että ruusuja Internet Explorer -selaimen uusimmasta tietoturvapäivityksestä. Jotkin web-kehittäjät valittavat, että nettisivujen väärennöksiä estävä turvapäivitys muutti samalla Explorerin kirjautumistoimintoja, ja estää nyt pääsyn joihinkin netin palveluihin. Tietoturva-asiantuntijat sen sijaan kiittelevät Microsoftia heidän mielestään turvattoman ja jopa typerän kirjautumistavan estämisestä.
Kyseessä saattaa olla ensimmäinen julkinen tapaus, jossa tietoturva on todella mennyt Microsoftin asiakkaiden käyttämän ominaisuuden edelle, kertoo uutispalvelu Zdnet. Yhtiö ilmoitti jo ennen turvapäivitystä, että se estää samalla nettipalvelujen kirjautumistietojen ja salasanojen antamisen nettiosoitteen yhteydessä.
Joihinkin palveluihin on päässyt tähän asti esimerkiksi osoitteella: http://käyttäjätunnus:salasana@www.firma.fi/sovellus.ext. Linkki ohjaa käyttäjän haluttuun palveluun, ja lopussa mainittu kirjautumissovellus tarkastaa käyttäjän tiedot käyttäjänimen sekä salasanan perusteella. Käytäntö on melko turvaton, sillä salasanat ovat kaikkien näkyvissä, eikä niitä suojata mitenkään lähetyksen ajaksi.
Microsoftin mukaan asiaa katsottiin koko käyttäjäkunnan näkökulmasta, ja asiakkaat haluavat parempaa turvallisuutta. Tietoturva-asiantuntijoiden mukaan kyseistä ominaisuutta ei olisi pitänyt olla Explorerissa alunperinkään, sillä kirjautumiseen on lukuisia turvallisia vaihtoehtoja. Nyt poistettua kirjautumistapaa on lisäksi käytetty monissa huijauksissa, joissa käyttäjät on ohjattu väärennetyille nettisivuille ja heiltä on yritetty urkkia henkilötietoja.
