COMPUTERWORLD
Specializovaný týdeník o výpočetní technice
o Internetu
(CW 17/96)

JavaScript může odposlouchávat uživatele

Po úpravách v jazyce Java, který se ukázal být ne zcela bezpečným, jak proklamovala firma Sun, došlo i na JavaScript - silný skriptový nástroj pro WWW stránky.

Podle zpráv od některých vývojářů Web serverů, kteří testují možnosti JavaScriptu, je možné použít tento jazyk pro sledování činnosti uživatele i potom, co opustí stránku, na které je program v JavaScriptu umístěn. To je pro manažery větších informačních systémů v podnikových sítích špatná zpráva. Mnoho z nich se v současné době chystá převybavit své uživatele s novou verzí nejoblíbenějšího prohlížeče Netscape Navigatoru 2.0. Právě tento prohlížeč umí nyní pracovat s JavaScriptem a jeho příkazy provádět. Po zjištění možnosti zneužití JavaScriptových programů vypustila firma Netscape update svého prohlížeče označený 2.01, který obsahuje možnost vypnout provádění JavaScriptu.

Neúčinná ochrana podnikové sítě

JavaScript je určen především pro lepší interakci s uživatelem a pro práci s grafickým prostředím prohlížeče. Celý problém spočívá v tom, že po návštěvě stránky, kde je umístěn kód elektronického špióna, se spustí sledování aktivity uživatele prohlížeče. Všechno, co uživatel napíše je zaznamenáno, a to i po opuštění "infikované" stránky. Pomocí stále otevřeného okna v rámci prohlížeče je skript udržován v činnosti až do jeho zavření nebo ukončení aplikace.

Protože sledování pracuje na aplikační úrovni a sleduje stisky kláves, je možné takto zjistit bez problémů také všechna hesla, která uživatel při práci s WWW zadává. A to i v případě, že uživatel je spojen s Internetem přes nějakou formu ochrany nebo používá některého z bezpečných protokolů. Protože nemálo uživatelů využívá nějakou placenou službu přístupnou po Internetu, mohou se tímto způsobem připravit o značnou sumu peněz. V době od prozrazení přístupových jmen a hesel do zjištění, že něco není v pořádku, jsou "odhalené" služby pro sledovače volně přístupné.

Síla přichází se slabostí

Problémem současného dění v oblasti aplikačního vývoje interaktivních aplikací na Internetu je fakt, že čím je aplikační prostředek silnější a umožňuje více funkcí, tím je náchylnější k zneužití pro hackery.

Uživatel v případě JavaScriptu i Javy vidí pouze část činnosti programů vytvořených v těchto jazycích. Za příjemným grafickým okénkem se může skrývat nebezpečný kód schopný narušit podnikový informační systém nebo právě sledovat zadávaná hesla a uživatelská jména.


| CW o Internetu | COMPUTERWORLD | IDG CZ homepage |