Pliki cookie Internet Explorera nie zapewniają bezpieczeństwa

Błąd w Internet Explorerze pozwala nieuczciwym autorom stron WWW na przeglądanie zawartości plików cookie internautów.

Przechowywane przez przeglądarkę Internet Explorer pliki cookie mogą być odczytane przez dowolną stronę internetową - ostrzegają eksperci. Cookie są małymi plikami, służącymi do weryfikacji tożsamości użytkowników przez serwisy WWW i często zawierają dane dotyczące ich prywatności.

Sposób wykorzystania tego błędu zaprezentowała organizacja Peacefire.org, tworząc specjalnie spreparowaną stronę WWW, mogącą odczytać pliki cookie Explorera z dowolnej domeny. Przykładowo, aby odczytać cookie serwisu Amazon.com należy w przeglądarce wpisać adres http://www.peacefire.org%2fsecurity%2fiecookies%2fshowcookie.html%3f.amazon.com/.

Taka konstrukcja adresu URL powoduje, że Internet Explorer traktuje tę stroną tak, jakby znajdowała się w domenie Amazon.com. Pozwala to na odebranie przez tę stronę plików cookie użytkownika. Zwykle dane te powinny być możliwe do odczytania jedynie przez ten serwis, który stworzył dany plik cookie.

Zdaniem Peacefire, problem ten dotyczy Microsoft Internet Explorera w wersjach dla systemów Windows 95/98/NT i 2000. W mniejszym stopniu narażone są przeglądarki IE w wersjach unixowych, natomiast oprogramowanie w wersji dla platformy Macintosh jest całkowicie bezpieczne. Błąd ten nie dotyczy innych przeglądarek internetowych, w tym autorstwa Netscape.

Jako najpewniejszy sposób wyeliminowania zagrożenia, specjaliści z Peacefire zalecają wyłączenie funkcji JavaScript, co uniemożliwi odczyt cookie innym stronom WWW.

Przedstawiciele Microsoftu zapewniają, że podjęte już zostały prace nad poprawkami mającymi usunąć ten problem i mają one być wkrótce udostępnione w Internecie. Podkreślają też, że błąd ten nie pozwala nieuczciwemu autorowi strony WWW na poznanie, jakie pliki cookie ma użytkownik. W związku z tym musi on zgadywać, z jakich serwisów korzysta jego ofiara - twierdzi przedstawiciel Microsoftu.