Trang chủ » Thiết kế website giá rẻ
Rắc rối với bản patch IE mới nhất
Một số nhà phát triển web đang phàn nàn về tính hiệu quả của miếng vá bảo mật mới nhất dành cho trình duyệt IE, cho rằng nó đã vô hiệu hoá một số ứng dụng và không đặt mục tiêu bảo mật lên hàng đầu.
"Có thể Microsoft sẽ có những lý do chính đáng để biện luận cho họ, thế nhưng bản patch IE mới nhất đã giết chết một số chuẩn công nghiệp và đẩy các nhà phát triển web vào tình thế khó khăn", James Rosko, kỹ sư phát triển phần mềm, phàn nàn. James Rosko và các đồng nghiệp đã mất khá nhiều thời gian để thay đổi chương trình xử lý yêu cầu login vào website của công ty mình.
Phàn nàn của James Rosko về tính năng bảo mật có lẽ là trường hợp đầu tiên trước khi Microsoft chuyển bản patch tới khách hàng của mình. Cách đây hơn 2 năm, Microsoft đã phát động "Sáng kiến máy tính an toàn" nhưng cho tới nay vẫn nhận được rất nhiều phàn nàn của khách hàng rằng chúng chẳng có kết quả là bao.
Vấn đề phát sinh khi các nhà lập trình thiết kế một website cho phép người sưử dụng login vào bằng cách đánh "credentials" (tạm dịch: "uỷ quyền") vào URL, chẳng hạn có dạng như: http://username:password@www.somecompany.com/program.ext. Đường link này sẽ cho phép người dùng truy cập vào website của công ty khi chương trình kiểm tra xác định username (tên người dùng) và password là đúng. Do tên người dùng và mật khẩu là một phần của địa chỉ website và không được mã hoá, nên các credentials gắn kèm trên URL bị coi như một nguy cơ bảo mật.
Tuy nhiên, đây không phải là nguyên nhân khiến cho Microsoft vô hiệu hoá tính năng trên. Công ty này đã có một số thay đổi nhằm ngăn chặn khả năng "cải trang" địa chỉ của một số website nguy hiểm, chẳng hạn như một URL giả mạo dẫn tới trang của eBay sẽ có dạng: http://www.ebay.com@fraudsite.com. Trang web giả mạo này sẽ yêu cầu người dùng điền tên và mật khẩu vào, và điều hiển nhiên sau đó là mật khẩu sẽ bị đánh cắp. Thường những ngân hàng, tập đoàn tài chính lớn được đem ra làm "mồi nhử" cho trò lường gạt này
Xem các bài liên quan:
Cảnh báo lỗi mới trong IE của Microsoft
Microsoft Security Bulletin MS04-004