Mindig érdeklôdést keltenek nazok a hírek, amelyek arnról szólnak, hogy újabb „lyukat” találtak az Internet biztonsági hálóján. Nemrég két ilyen hír is fölröppent két világhálóböngészôrôl. Az elsô a Microsoft Internet Explorerrôl, a másik a Netscape Navigatorról szól. Mire volt jó az Internet Explorer? (Azért csak volt, mert a javítás már elkészült, hozzáférhetô a http://www.microsoft.com/ie címen.) Arra, hogy valaki tudtunk nélkül használja a számítógépünket. Paul Greene, a Worcester Polytechnic diákja jött rá, hogyan lehet rávenni egy Windows 95 vagy Windows NT operációs rendszerben dolgozó IE-t arra, hogy programot indítson: a hiperszövegben egy ál-hivatkozást lehet elhelyezni, egy úgynevezett rövidítést, melyre ha a kíváncsi olvasó rábök az egerével, elindul egy program a PC-n. Az eljárást az teszi veszélyessé, hogy a standard telepítés során a PC-k millióin kerülnek dolgok ugyanarra a címre, tehát könnyű kitalálni, hogyan indíthatók el a programok. Ugyanakkor a Microsoft szakértôi szerint azIE-n belüli úgynevezett Active-X komponensekre alapozott biztonsági megoldások nincsenek veszélyben.
A Netscape Navigatorról felröppentett hír sem kevésbé látszik szenzációsnak. Egy ügyes és népszerű képtovábbító megoldás, a Makromedia Shockwave segítségével állítólag a felhasználó tudta nélkül kiolvashatók a PC-jébôl a drótlevelek, esetenként még a töröltek is. A Netscape által egyelôre meg nem erôsített hír szerint a trükköt az teszi különösen veszélyessé, hogy még a tűzfal rendszeren is áthatol. A Poppe Tyson Interactive programozója, David de Vitry által felfedezett veszély minden Windows NT, Windows 95 operációs rendszerrel dolgozó gépre leselkedik, amelyen használják a Macromedia adatbázisából eddig húszmillió példányban áttöltött kiegészítô programot.
A lyuk, amelyen át lehet bújni, a levelezôrendszerek által elôszeretettel használt könyvtárstruktúra. Általában ugyanott, az INBOX-ban vannak a bejövô, az OUTBOX-ban a kimenô és a TRASH-ben a kidobott levelek. A Shockwave-nek van egy utasítása, amellyel a megadott katalógusból kiolvasható egy adatállomány tartalma. Ezt kell beírnunk a világháló-adatbázisban elhelyezett Shockwave állományba, a feltételezett katalógusnévvel együtt. Ha talált, akkor kiolvas egy drótlevelet, amit aztán egy következô utasítással a felhasználó tudta nélkül visszaküldethetünk magunknak, és elhelyezhetjük az adatbázisunkban.
A kísérletezô kedvűeknek jó szórakozást kívánok, az aggódóknak pedig azt tanácsolom, változtassák meg mindenütt a katalógus- és állományneveket. A legjobb, ha mindegyik katalógus nevébe, ahol drótlevél lehet, beletesznek egy-két ékezetes betűt. A „levéltár”-at viszont nem ajánlom, hátha valaki éppen annak tartalmára kíváncsi.
Vargha Márton