Hogyan fenyegeti az Internet Explorer a levelezést?

Közkedveltsége miatt rengetegen használják a Gmailt nyilvános helyekről is; olyan terminálokról, melyekhez sokan hozzáférnek. Egy nemrég megjelent figyelmeztetés szerint azonban nem árt résen lenni – az Internet Explorer használatával számos bizalmas információ megmaradhat a számítógépen, még a Google rendszeréből való kilépést követően is. A böngésző gyorsítótára ugyanis nem megfelelően kerül ürítésre.

Erről a Cenzic nevű, webes alkalmazások biztonságával foglalkozó amerikai vállalat adott ki figyelmeztetést a minap. A cég szóvivője, Mandeep Khera szerint mindkét fejlesztő felelős a kialakult helyzetért: mind a Google-nek, mind a Microsoftnak javítást kellene megjelentetnie, hogy gondoskodjon felhasználói biztonságáról. Redmond azonban nem sokkal az információ napvilágra kerülése után kijelentette, hogy szerinte nem termékbiztonsági problémával állunk szemben. Indoklása szerint olyan szintű hozzáférés szükséges a PC-hez, amely mellett már akár ártalmas szoftver is telepíthető lenne, vagyis megfelelő hitelesítés mellett az említettnél sokkal nagyobb kárt is lehet okozni – anélkül viszont ez a biztonsági rés sem jelenthet gondot.

Visszatérve a sérülékenységre: a Cenzic kutatói szerint egy úgynevezett CSRF (cross-site request forgery) kihasználásával, az Internet Explorer cache-elési szabályainak egyedi értelmezése mellett lehetővé válik, hogy gmailes adatokat szerezzen meg egy támadó a számítógépről. Különösen ott jelent a Cenzic vélekedése szerint ez problémát, ahol sokan használnak egy-egy komputert: könyvtárakban, Internet-kávézókban stb. Azt azért a cég is elismerte, hogy ehhez a hackernek fizikai hozzáféréssel kell rendelkeznie az adott PC-hez.

Patch híján azt javasolta Khera az érintetteknek, hogy tiltsák le az oldalak böngészőszintű (ideiglenes) eltárolását, ami megakadályozza, hogy egy, az Interneten korábban megtekintett oldalt később más is megnézhessen – abban a formában, ahogy az eredetileg felbukkant az internetező előtt (adatokkal, adott esetben jelszavakkal stb.).