home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / msie_5_autocomplete.txt < prev    next >
Encoding:
Text File  |  1999-03-24  |  4.0 KB  |  87 lines
  1. http://abcnews.go.com/sections/tech/DailyNews/iehole990315.html
  2.  
  3. New Web Browser Feature May
  4. Put Private Info At Risk 
  5.  
  6. Internet Explorer 5.0 users might be vulnerable to
  7. hackers if they enter credit cards and other
  8. information using the browser's AutoComplete
  9. feature. (A.Shepherd/ABCNEWS.com)
  10.  
  11. By Michael J. Martinez
  12. March 15
  13. A new feature in the latest edition of Microsoft's Internet Explorer Web browser 
  14. could make personal information available to other people accessing your computer, 
  15. either in person or online.
  16.  
  17. Security experts say the "AutoComplete" feature in Internet Explorer 5.0, which 
  18. records and reproduces the information a user enters into online forms (such as 
  19. an e-commerce order form or a contest entry), could potentially be accessed by 
  20. hackers posing as the computer's primary user.
  21.  
  22. "If someone does indeed gain remote access to your computer, you might indeed run 
  23. into a vulnerability there," acknowledges Mike Nichols, program manager for 
  24. Internet Explorer at Microsoft. 
  25.  
  26. Nichols stresses, however, that no such attacks on IE 5.0 have been documented. 
  27. The AutoComplete feature can be disabled by the user.
  28.  
  29. Convenience vs. Security
  30. The new feature in IE5, which will be formally launched Thursday, is an extension 
  31. of the AutoComplete feature from past browsers. In previous versions of IE, typing 
  32. out the first few letters of a previously accessed URL brings the entire address 
  33. up. This feature has been extended to online forms. 
  34.  
  35. So, for example, if a user buys a book at an online bookstore, entering the first 
  36. few letters of his or her name prompts the browser to enter the complete name. The 
  37. same goes for other information, including passwords, phone numbers and credit 
  38. card numbers.
  39.  
  40. Such information is encrypted and stored in the Windows Protected Store, a file 
  41. that is part of the Windows operating system. Each user on a workstation or 
  42. personal computer has his or her own encrypted storage area, tied to his or her 
  43. password.
  44.  
  45. "This is a secure environment," Nichols says. "If you're not logged in, nobody 
  46. can access it."
  47.  
  48. Breaking and Entering
  49. Remote access is another matter. There are a number of so-called "exploits" - 
  50. downloadable programs that serve as hacking tools - that allow remote users to 
  51. gain control of a computer as if the remote user was actually sitting at the 
  52. computer and logged in. The exploit called "Back Orifice," introduced by the 
  53. hacker group Cult of the Dead Cow last summer, is one of many different tools 
  54. that can take a variety of forms.
  55.  
  56. "If the user can type a few characters and have the rest filled in for him, a 
  57. program can be written to simulate a user doing the same thing," says DilDog, a 
  58. hacker with L0pht Heavy Industries, a hacking and security consulting group in 
  59. Boston. "It's a useful little widget, but it suffers greatly if it is used to 
  60. store sensitive information."
  61.  
  62. DilDog, who discovered and publicized a number of security flaws in IE4, says 
  63. the AutoComplete issue would probably be the least of a users' worries if 
  64. someone gains remote access to their computer. Nevertheless, he calls it a 
  65. "bad idea" to access sensitive information through the browser.
  66.  
  67. Protecting Yourself
  68. Users who feel their computers might still be vulnerable are often encouraged 
  69. to keep personal information - financial files, correspondence, etc. - on a 
  70. floppy disk to avoid having someone rifle through them. 
  71.  
  72. The AutoComplete hole could allow a remote hacker to check the browser for 
  73. sensitive information. 
  74.  
  75. "This could very well be a new problem," says Peter Tippett, president of 
  76. ICSA, Inc., a computer security consulting business. "When someone accesses your 
  77. computer without you knowing it, a lot of things could go wrong." 
  78.  
  79. Safe Computing Practices
  80.  
  81. Use anti-virus software and a screen saver.
  82. Don't open programs (usually with .exe extensions) sent via e-mail from unknown 
  83.      sources. 
  84. Don't download anything from unfamiliar Web sites.
  85. Make sure to update your software with security patches. Those are commonly 
  86.      available online through the software vendor. 
  87.