Håkon Vatne
Du er her : Hjem > Teknologi

En tanke rundt IE 8 og sikkerhet

På samme måte som vi er blitt vant til at IE 7 deler sessions mellom Tabbene/fanene, deler IE 8 sessions mellom alle åpne explorer vinduer.

Session cookies brukes ofte til å autentisere brukere på nettsteder. Cookien lever så lenge du er på nettstedet, men dør etter noen minutter når du ikke har hentet ny side fra serveren. Ofte er det 20 minutter som er grensen.

I Internet Explorer 7 deles disse cookiene mellom fanene. Dette utgjør en rissiko når du for eksempel leker i nettbanken. Noe som er blitt advart om før. http://www.idg.no/computerworld/article117836.ece .
I IE 7 ungikk du faren ved å starte et friskt vidu når du skulle i nettbanken. 

Nå er Internet Explorer 8 på trappene. Og med RC1 deles nå sessioncookies ikke bare mellom faner, men også mellom alle åpne Explorer vinduer. Jeg har ikke teste om dette gjelder beta utgavene også, men det skal man ikke se bort ifra.

Scenario:

Du surfer på internet og har et IE8 vindu åpent.
Du bestemmer deg for å gå  i nettbanken for å betale regninger. Og som den sikkerhetsbevisste bruker du er, åpner du et "friskt" vindu som du bruker til dine ærend i nettbanken. Når du er ferdig lukker du vinduet.
Så får du en mail far en god kompis med en nettside som du bare må sjekke ut. Igjen åpner du et nytt vindu og limer inn lenken. 
Dette vinduet har nå i praksis tilgang til nettbanken din, via  til det første vinduet.

legg inn -nomerge i snarveien
Legg inn -nomerge i snarveien til explorer

Hvordan ungå dette?

For å være sikker på at vinduet du har oppe er det eneste vinduet som er innlogget i nettbanken må du først lukke alle andre explorer vinduer. Så må du lukke vinduet med nettbanken når du er ferdig, før du åpner andre vinduer.

Alternativt kan du åpne IE8 med parameteren "-nomerge".  Denne gjelder bare for det vinduet du åpner, så du kan med fordel legge den inn i snarveien du vanligvis bruker til explorer. Ved bruk av nomerge deles fremdeles sessions mellom faner, slik som i IE 7.

Alternativt kan du lage en Facebook gruppe for å få Microsoft til å bruke nomerge som default setting, men det tar sikkert litt lenger tid.

Noen relevante linker:

http://blogs.interakting.co.uk/dominicz/archive/2008/11/20/internet-explorer-8-ie8-does-not-generate-new-session-ids.aspx

http://blogs.msdn.com/ie/archive/2008/07/28/ie8-and-reliability.aspx

http://www.ajax-blog.com/ie-8-and-the-user-features.html

 

 

Bokmerk eller del