Hopp til navigasjon Hopp til innhold

Farlig å bruke «tilbake»-knappen

«Tilbake»-knappen i Internet Explorer kan skaffe deg alvorlig trøbbel. Det har en svensk fysikkstudent påvist.

Tilbake-knapp
Andreas Sandblad studerer til fysikkingeniør ved uiniversitetet i Umeå. Han har funnet ut at under gitte forhold kan nettsider som er lagret i Internet Explorerers minne (cache) generere et javskript som i sin tur kan få de frykteligste konsekvenser for deg og din PC…

Meldte fra

Sandblad meldte fra til Microsoft allerede i november i fjor, og har nå lagt ut detaljene i en egen melding i Securityfocus.coms Bugtraq-arkiv..

Essensen er i korte trekk denne: Microsofts nettleser tillater at URL’er som inneholder javascript legges i arkivet over sider du har besøkt tidligere. Kode som er lagt inn i en gitt URL vil kunne skrives slik at den blir utløst når du ønsker å gå tilbake til forrige nettside.

Falsk feilmelding

Når IE ikke klarer å vise en side – enten fordi den ikke finnes eller fordi serveren/nettverket er nede, hentes et standard html-dokument med feilmelding opp fra harddisken. Javaskriptet blir kjørt fra samme område som denne siden. Siden standard feilmelding i IE er en lokal fil, har skriptet lokale rettigheter og kan dermed kjøre lokale program og lese lokale filer. (Takk til innsender Gunnar Velle!)