Horisontal meny

Omstridt lansering av verktøy for nettlesere

Omstridt verktøy fra Mozilla Da Mozilla torsdag la ut jsfunfuzz, et verktøy for å finne sikkerhetshull i nettlesere, fritt tilgjengelig for allmennheten, var ikke alle like blide – mange frykter det vil bli misbrukt og gjøre Internett mindre trygt for folk flest.

Nettleserprodusentene har alle verktøy som de bruker til finne potensielle sikkerhetshull, verktøy som de frem til nå selvfølgelig ikke har gjort tilgjengelig for folk flest, for det sier seg selv at slike verktøy kan misbrukes av personer med onde hensikter – men Mozilla ser ut til å mene det stikk motsatte.

De gjorde derfor jsfunfuzz (JavaScript Fun Fuzz) fritt tilgjengelig for allmennheten. Det er et verktøy for å teste nettleseres JavaScript-motor for potensielle sikkerhetsfeil. Samtidig jobber de med å utvikle to andre tilsvarende verktøy, ett for HTTP, og ett for FTP, og ifølge Internetnews vil også disse verktøyene bli gjort tilgjengelig for allmennheten etter hvert.

Kan bli misbrukt

Det er ikke bare i Mozilla Firefox verktøyet kan brukes, jsfunfuzz fungerer også i Opera, Safari og Internet Explorer. Og nå som verktøyet er tilgjengelig for alle, kan det kanskje bli spesielt kritisk for brukere av Internet Explorer – for Microsoft er ofte flere måneder på etterskudd med å fikse kritiske sikkerhetshull, og personer som bruker jsfunfuzz til å finne feil i nettleseren deres, vil sansynligvis få god tid til å utnytte de.

Mange har allerede utrykt at de er kritiske til at Mozilla gjør verktøyet tilgjengelig for allmennheten, fordi de frykter det vil bli misbrukt til å finne og utnytte sikkerhetshull i nettlesere, og dermed gjøre Internett til et mindre trygt sted for folk flest. Mozilla forsvarer seg derimot med at de i forkant av lanseringen har sendt verktøyet til både Opera, Apple og Microsoft.

– Vi ønsket å forsikre oss om at vi ikke lanserte verktøyet uten å varsle de andre leverandørene, påsto Window Snyder i Mozilla ifølge Internetnews.

I e-post til Internetnews bekrefter Thomas Ford i Opera Software at Mozilla sendte verktøyet til to Opera-utviklere, og opplyser at de nå jobber med å teste det på sine produkter. Men legger ikke skjul på at han er kritisk.

– Verktøy som blir gitt allmennheten som kan brukes til å finne måter å utnytte programvare, risikerer å bli misbrukt. Når en organisasjon publiserer slike verktøy, må de ta i betraktning hvorvidt det kan bli til skade for millioner av uskyldige brukere, påpeker han.

Skaper debatt

Asa Dotzler

Asa Dotzler i Mozilla.

I kommentarer til Opera Watch’ artikkel om saken, utrykker flere brukere at de er betenkte. Én av dem er brukeren Jadd.

– Dette ville vært gode nyheter hvis nettleserleverandører fikset sikkerhetshull straks de ble oppdaget. Dessverre gjør de ikke det. Bare se på Internet Explorers historie. Jeg tror dette verktøyet vil forbedre Opera, fordi Operas team fikser sikkerhetsfeil veldig raskt, men generelt vil være til skade for massene, skriver han.

Kommentaren til Jadd blir så kommentert av Asa Dotzler fra Mozilla, som er kynisk nok til ikke å være bekymret for sikkerheten til brukere av Internet Explorer, men i stedet argumenterer med at de burde bytte nettleser.

– Jadd, som jeg sa til GT, har folka med onde hensikter allerede disse verktøyene, massene er dårlig stilt hvis de baserer seg på at de ikke har disse verktøyene. Så, de burde virkelig bytte til en nettleser som har et utviklerteam som tar sikkerheten seriøst, skriver han.

Utvikleren bak jsfunfuzz, Jesse Ruderman, skriver at verktøyet allerede har funnet hele 280 feil i Firefox’ JavaScript-motor, hvorav 27 var feil som kunne utnyttes til å kjøre skadelig kode. Les mer om dette i artikkelen Introducing jsfunfuzz.

Kilder: Will Mozilla’s Fuzzer Break The Web?, Mozilla Puts The Fun in Fuzz, JavaScript fuzzer available, Fuzzing for correctness, Introducing jsfunfuzz, How will Mozilla’s security tools affect Opera and the public? Foto: Flickr/roland.

2 Responses to Omstridt lansering av verktøy for nettlesere

  1. Einar 03/08/2007 at 8:29 pm #

    Synes dette er et bra tiltak av Mozilla, da det tidligere har vist seg at press er noe som må til for å få tettet sikkerhetshull. Bedrifter / utviklere er ofte naive, og stoler fullt og helt på løsningene sine, selv når hullene blir godt dokumentert. Når de blir publisert via f.eks. aviser, eller at det blir “for” offentlig kjent, istedenfor lukkede hacker-kretser, har de ikke noe annet valg enn å tette dem.

  2. Asbjørn Ulsberg 11/08/2007 at 3:24 pm #

    “Security by obscurity” er ikke en langvarig eller god løsning. Microsoft ser ut til å mene at så lenge sikkerhetshullene i deres programmer er ukjent, så er applikasjonene trygge å bruke, men slik er det ikke. Jo før slike hull blir offentlig eksponert og kjent, jo bedre er det.
    At Microsoft har en så treg utviklings- og distribusjonssyklus at de ikke klarer å tette sikkerhetshull fort nok til å beskytte sine brukere betyr bare at brukerne må finne seg nye verktøy fra andre produsenter som tar sikkerheten mer på alvor og som har et utvikler- og distribusjonsapparat som tetter slike hull kjapt og effektivt.

shopify analytics