Dødslinjen i browseren breder sig med HTML5 og mobil-apps

Førhen kunne man stole på, at menuen og adresselinjen i browseren var dét, de udgav sig for. Men helt så enkelt er det ikke længere.

Der er en 'dødslinje' i browseren. En pixel over linjen bør være sikker. En pixel under linjen er ikke til at stole på. Sådan har det i hvert fald været længe, men linjen er under pres.

Det skriver softwareudvikler Eric Lawrence, som tidligere har arbejdet for Microsoft og nu er en del af sikkerhedsteamet for Google Chrome, i et blogindlæg.

Dødslinjen er den skillelinje, der er i browseren mellem den del af vinduet, hvor websiden vises, og så den del, hvor browserens menu, faneblade, adresselinje og andre brugergrænsefladeelementer er.

Tanken bag begrebet dødslinjen er, at for brugeren, så bør alt under linjen regnes for at være usikkert. Brugeren kan ikke stole på, at der faktisk sker dét, som grænsefladen signalerer, at der vil ske.

Over linjen vil browserproducenten imidlertid stå inde for, at brugeren kan stole på det, der bliver vist på skærmen.

Men helt så enkelt er det alligevel ikke. For websiden kan også påvirke eksempelvis det, der vises som titel på fanebladet og i adresselinjen. Ganske vist kan der ikke snydes med URL'en, men der har i mange år været eksempler på, at netop tiltroen til URL'en bliver brugt ved eksempelvis at bruge en URL, der ligner en legitim Paypal-URL, men i virkeligheden peger på et svindelsite.

Ifølge Eric Lawrence, så er det et problem, at dødslinjen lige nu rykker sig. HTML5 indeholder muligheden for at lave websider i fuld skærm. Dermed kan man lægge en falsk udgave af browseren ovenpå den ægte, og dermed skjule, hvad der i virkeligheden foregår.

Det var også et problem, da Microsoft i Windows 8 havde en udgave af Internet Explorer, som var optimeret til touch og altid kørte i fuld skærm. Det betød, at brugeren ikke fik direkte visuelle varsler om en sides sikkerhed.

Problemet er ikke kun begrænset til browseren. Alle applikationer, der viser noget i fuld skærm, har mulighed for at vise falske beskeder eller udgive sig for at være noget andet, end de i virkeligheden er. Alle mobilapplikationer er i dag fuldskærmsapplikationer, og brugeren skal bevidst vælge at foretage en handling for at verificere, hvad der foregår på skærmen. Den visuelle del er ikke til at stole på.

Dermed er vi tæt på, at der ikke længere er tale om en dødslinje, som skiller det sikre fra det usikre, men snarere én stor dødszone, hvor alt i princippet er usikkert.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere