Przeglądanie z błędami

Producenci przeglądarek internetowych zdążyli przyzwyczaić użytkowników, że nie ma miesiąca, by nie został ujawniony nowy błąd w tych aplikacjach.

Producenci przeglądarek internetowych zdążyli przyzwyczaić użytkowników, że nie ma miesiąca, by nie został ujawniony nowy błąd w tych aplikacjach.

W większości przypadków błędy w przeglądarkach nie zagrażają istotnie bezpieczeństwu danych użytkownika Internetu. Ich wystąpienie uzależnione jest od specyficznych warunków, takich jak połączenie przeglądarki z danym serwerem pracującym pod kontrolą konkretnego systemu operacyjnego. Czasem jednak, jak w przypadku ostatnio wykrytej wady Internet Explorera 4.0, mogą one mieć wpływ na dane znajdujące się na dysku twardym użytkownika lub - tak jak błąd w ostatniej wersji Netscape Communicatora - umożliwić przechwycenie poufnych informacji przez hakera.

Zdążyć z poprawką

Producenci zdążyli również przyzwyczaić użytkowników, że nie ma rozwiązań idealnych - wraz z oficjalnym pojawieniem się nowej wersji internetowej aplikacji, grupa programistów kończy pracę nad przygotowaniem do niej zestawu poprawek. Nad nieszczelnością Internet Explorera czy Netscape Communicatora boleją przede wszystkim użytkownicy indywidualni. W przypadku systemów korporacyjnych, większość administratorów broni się przed konsekwencjami ewentualnych błędów, instalując zaporę lub przestrzegając użytkowników przed przesyłaniem poufnych informacji w Internecie.

„Priorytet w kolejności zabezpieczania ma u mnie maszyna, będąca bramką do Internetu” – mówi Maciej Krzyszkowski, informatyk gdańskiej firmy konsultingowej Doradca Consultants. Aplikacje internetowe - w tym przeglądarki - są w Doradcy testowane przed instalacją na komputerze administratora. Ponadto informatycy starają się bazować na produktach jednego producenta tak, aby uniknąć ewentualnych problemów z kompatybilnością. „Wszystkie poprawki nanoszę na bieżąco, a ponadto staram się przetestować możliwość włamania do systemu lub przechwycenia poufnych informacji, korzystając przy tym z pomocy dostawcy internetowego”- wyjaśnia Maciej Krzyszkowski.

Borys Czerniejewski, dyrektor departamentu informatyki w Komitecie Badań Naukowych również dba o uaktualnianie wersji przeglądarek. „Nie zauważam jednak, by błędów w przeglądarkach było dużo i w związku z tym nie poświęcamy im tyle czasu co innym aplikacjom” – mówi Borys Czerniejewski.

W dużych firmach, w których z WWW korzysta wielu użytkowników, problemem może być dystrybucja poprawek. Na ogół proces instalacji na komputerach nie odbywa się automatycznie, ale administrator zezwala użytkownikom na instalowanie poprawki na lokalnym dysku. Powiadamianie o błędzie odbywa się najczęściej poprzez pocztę elektroniczną. Administratorzy nie mogą jednak sprawdzić, czy użytkownicy dokonali uaktualnienia wersji przeglądarki, przez co - w pewien sposób - narażają bezpieczeństwo całego systemu.

Alarm co miesiąc

W tym roku problemy z przeglądarkami WWW autorstwa Microsoftu zaczęły się już w lutym, kiedy jeden z amerykańskich studentów wykrył, iż pliki z rozszerzeniami .lnk i .url umożliwiają administratorom serwerów WWW uruchamianie aplikacji na dyskach lokalnych posiadaczy wersji 3.0 Internet Explorera. Producent już po tygodniu zareagował na postulaty użytkowników, udostępniając łatę likwidującą jednocześnie 3 wykryte wcześniej problemy z przeglądarką, z których najważniejszy dotyczył możliwości umieszczenia na stronie WWW dowiązania do aplikacji Windows Explorer, wykonującej działania na dysku lokalnym.

Najnowszy błąd znaleziony w Explorerze pod koniec sierpnia br. polega na wykorzystaniu „luki” w jednym z komponentów ActiveX dostarczanym wraz z drugą wersją beta IE 4.0. Sprawia on, że administrator serwera WWW uruchamiając aplikację Javy może zniszczyć pliki odwiedzających jego stronę gości. Wykryty błąd nie daje sposobności do podejrzenia plików, a wyłącznie do ich zamazania. Problem ten dotyczy również użytkowników wcześniejszej IE 3.0, którzy dokonali uaktualnienia wirtualnej maszyny Javy.

Nie ustrzegł się też błędów konkurencyjny Netscape Communicator. Najsłynniejszy tegoroczny błąd w przeglądarce Netscape został wykryty na początku czerwca br. przez duńskiego użytkownika. Umożliwiał on administratorom serwerów WWW przeglądanie plików odwiedzających ich strony gości. Za podanie technicznych szczegółów błędu 28-letni Christian Orellana zażądał od firmy Netscape dużej kwoty, wyższej od zwyczajowego 1 tys. USD, które firma przyznaje za wykrycie każdego istotnego błędu. Informacja o tym zdarzeniu znalazła się nawet w serwisie CNN, natomiast Christian Orellana zgodził się w końcu ujawnić szczegóły po znacznie niższej cenie.

Miesiąc później specjaliści z Bell Labs wykryli błąd w przeglądarkach Navigator 3.x i Communicator 4.0, który powodował, że informacja przechodząca między serwerem WWW a komputerem użytkownika może zostać przechwycona przez hakera. Jak się później okazało, błąd ten dotyczył nie tylko produktów Netscape’a, ale również Microsoftu. W kilka tygodni później singapurski student znalazł podobny do poprzednich błąd, umożliwiający przechwycenie danych wprowadzanych za pośrednictwem Communicatora 4.0 do formularzy na stronach WWW. Tym razem błąd krył się w aplikacji LiveConnect, wchodzącej w skład przeglądarki. Odkrycie studenta z Singapuru nazwano „Singapurski Błąd Prywatności”.

Pod koniec sierpnia br. Netscape udostępnił wersję 4.02 Navigatora, przeglądarki wydzielonej z pakietu Communicator. Ci, którzy zainstalowali ją wkrótce po upublicznieniu na firmowym serwerze, napotkali problemy z uruchamianiem aplikacji napisanych w języku Java. Netscape tym razem zareagował bardzo szybko, zamieniając w ciągu dwóch godzin dostępną wersję na działającą poprawnie. W ciągu kilku dni po ukazaniu się wersji 4.02 amerykański student odkrył w niej podobny błąd, umożliwiający przechwycenie informacji przekazywanych między serwerem a stacją użytkownika. Netscape naprawił błąd w ciągu dwóch tygodni.


TOP 200