Av
| 
Ett av de i särklass största och allvarligaste säkerhetsproblemen på nätet är så kallad cross-site scripting. Trots att problemet har funnits ända sedan skriptspråket Javascript infördes i webbläsaren Netscape för 14 år sedan har det inte lösts.
– Säkerhet anses inte vara häftigt, säger John Wilander, säkerhetskonsult på Omegapoint som även forskar om säker mjukvara vid Linköpings universitet.
Han anser att webbläsarföretagen har låtit säkerheten bli lidande och i stället fokuserat på nya publikfriande funktioner.
Enligt John Wilander finns det ett förhållandevis enkelt sätt att effektivt stoppa cross-site scripting.
– Inför vitlistning på webben, säger han.
Det fungerar så att webbapplikationen skickar med en vitlista till användarens webbläsare, där de skript som får köras anges. De skript, alltså små enkla program, som inte står med på listan får inte köras i webbläsaren.
– Cross-site scripting innebär att inkräktaren vill köra ett skript i offrets webbläsare. Det sker via en legitim webbsida, det är därför det heter cross-site scripting.
Om inkräktarens lyckas köra sitt skript i offrets webbläsare innebär det att han får möjlighet att göra en lång rad obehagligheter, som i slutändan ofta innebär att värdefull information stjäls.
– Vitlistning sätter effektivt stopp för det.
Att införa vitlistor som en lösning på problemet med cross-site scripting är en idé som sakta har börjat bubbla hos flera företag och organisationer den senaste tiden.
– Problemet är att alla måste komma överens om en lösning. Om man ska få de stora webbplatserna att gå med måste vitlistningen fungera likadant i alla webbläsare.
Enligt John Wilander är det långt dit. Orsaken är ett teknikkrig mellan mjukvarujättarna.
– I dag finns skriptspråket Ecmascript, mest känt som Javascript, inbyggt i alla webbläsare. Microsoft, Adobe och Oracle vill att vi ska installera deras tilläggsprogram i stället. Därför vill de inte att Ecmascript ska fungera bra, och ser till att dra arbetet med det här i långbänk. Det är verkligen jättetråkigt och det drabbar oss alla som vill att det ska bli säkert på webben, säger John Wilander.
Oracle blir en aktör i det här sammanhanget i och med förvärvet av Sun.
Är vitlistor rätt väg att gå? Är det inte bättre att bygga tillräckligt säkra webbapplikationer i stället?
– Det gör ont att försöka bygga så säkert att cross-site scripting inte går att utnyttja. Vi kommer ändå att misslyckas.
Får vi någonsin se någon vitlistning på webben?
– Nu siar jag bara, men jag tror att Mozilla inför ett eget stöd för vitlistning och slå på stora trumman för det. Sedan kan det bli så att de andra hakar på, säger John Wilander.
– Säkerhet anses inte vara häftigt, säger John Wilander, säkerhetskonsult på Omegapoint som även forskar om säker mjukvara vid Linköpings universitet.
Han anser att webbläsarföretagen har låtit säkerheten bli lidande och i stället fokuserat på nya publikfriande funktioner.
Enligt John Wilander finns det ett förhållandevis enkelt sätt att effektivt stoppa cross-site scripting.
– Inför vitlistning på webben, säger han.
Det fungerar så att webbapplikationen skickar med en vitlista till användarens webbläsare, där de skript som får köras anges. De skript, alltså små enkla program, som inte står med på listan får inte köras i webbläsaren.
– Cross-site scripting innebär att inkräktaren vill köra ett skript i offrets webbläsare. Det sker via en legitim webbsida, det är därför det heter cross-site scripting.
Om inkräktarens lyckas köra sitt skript i offrets webbläsare innebär det att han får möjlighet att göra en lång rad obehagligheter, som i slutändan ofta innebär att värdefull information stjäls.
– Vitlistning sätter effektivt stopp för det.
Att införa vitlistor som en lösning på problemet med cross-site scripting är en idé som sakta har börjat bubbla hos flera företag och organisationer den senaste tiden.
– Problemet är att alla måste komma överens om en lösning. Om man ska få de stora webbplatserna att gå med måste vitlistningen fungera likadant i alla webbläsare.
Enligt John Wilander är det långt dit. Orsaken är ett teknikkrig mellan mjukvarujättarna.
– I dag finns skriptspråket Ecmascript, mest känt som Javascript, inbyggt i alla webbläsare. Microsoft, Adobe och Oracle vill att vi ska installera deras tilläggsprogram i stället. Därför vill de inte att Ecmascript ska fungera bra, och ser till att dra arbetet med det här i långbänk. Det är verkligen jättetråkigt och det drabbar oss alla som vill att det ska bli säkert på webben, säger John Wilander.
Oracle blir en aktör i det här sammanhanget i och med förvärvet av Sun.
Är vitlistor rätt väg att gå? Är det inte bättre att bygga tillräckligt säkra webbapplikationer i stället?
– Det gör ont att försöka bygga så säkert att cross-site scripting inte går att utnyttja. Vi kommer ändå att misslyckas.
Får vi någonsin se någon vitlistning på webben?
– Nu siar jag bara, men jag tror att Mozilla inför ett eget stöd för vitlistning och slå på stora trumman för det. Sedan kan det bli så att de andra hakar på, säger John Wilander.
(
Molnigt på idg.se?
hmmm - (R_I_P) 2009-04-27 16:17
hmmm - (kajetan) 2009-04-27 16:41
hmmm - (Anders N) 2009-04-27 17:31
Då lär inte Diigo eller Delicious funka...!! - (Jävla töntigt med unika alias IDG.se) 2009-04-27 17:47
Javaskript? - (mallisturisten) 2009-04-27 18:31
NoScript? - (Zirro) 2009-04-27 22:50
Javaskript? - (SnakeInTheGrass) 2009-04-28 09:56
hmmm - (LoomChild) 2009-04-28 10:48