Internet Explorer - skąd drwiny z jego bezpieczeństwa?

Zła prasa Internet Explorera nie zaczęła się od jego wpadek z bezpieczeństwem. Kłopoty miały miejsce już od samego początku i wersji 1.0. Najpierw, produkt uchodził za wybrakowany względem konkurencji i rozprowadzany bez przekonania (Microsoft nie wierzył w internet), a wkrótce potem - za próbę brutalnego przejęcia rynku i narzucenia własnych, niekompatybilnych standardów. Internet Explorer był bowiem czymś więcej niż tylko przeglądarką. Był platformą multimediów i programowania.

Dlatego też jesienią 1997, przy wydaniu wersji 4.0, było tak wiele medialnego szumu. Microsoft oferował IE4 na płytach CD, bo komplet ważył kilkaset megabajtów. Poza przeglądarką WWW, użytkownik otrzymywał narzędzia skryptowe, programy pocztowe, kodeki, edytor HTML, czcionki i mnóstwo innych wtyczek. Instalator zmieniał powłokę systemową Windows 95, pozwalając na umieszczanie na pulpicie gadżetów DHTML i kafelków z wiadomościami.

Dalsza część artykułu pod materiałem wideo

System zaopatrzony w IE4 zmieniał się diametralnie. Możliwe było odpalanie na nim nie tylko "zwykłych" aplikacji, ale także mieszanek kodu Win32, skryptów VBS i kontrolek ActiveX. Celem było, od początku, rozmycie granicy między lokalnym komputerem a internetem. Można się domyślić, do czego to zmierza - do problemów z bezpieczeństwem. Ale Microsoft miał pełną świadomość niebezpieczeństwa. Dlatego wprowadził Strefy Zabezpieczeń: predefiniowane ustawienia dla lokalnego komputera, internetu, zaufanych witryn i stron z ograniczeniem dostępu, mające na celu wyizolowanie zasobów.

Niestety, strefy zabezpieczeń miały błędy. Ze względu na niewłaściwą obsługę ramek IFRAME, możliwe było wykonanie skryptu (poza językiem JavaScript, IE obsługiwał także skrypty Visual Basic Script) ignorującego ustawienia stref zabezpieczeń. Internet Explorer uznawał treść zagnieżdżoną za bezpieczną, dzięki czemu skrypty mogły czytać lokalne pliki i zabudowywać je w tworzonych przez siebie żądaniach. Wysyłając je, de facto, z komputera ofiary do złośliwego użytkownika.

Podatność nazywano Freiburg, ponieważ w tym mieście znajdowała się firma Jabadoo, która odkryła podatność i opublikowana notatka prasowa zaczynała się właśnie od tego wyrazu. Po ogłoszeniu pierwszej dziury w IE4, przez następny miesiąc, co tydzień ogłaszano nowe, poważne podatności w przeglądarce, pozwalające na jej zdalne zamknięcie, a nawet kradzież haseł i przekierowanie. Jednak to możliwość zdalnego odczytywania prywatnych i służbowych plików zrobiła na użytkownikach szczególne wrażenie. Na pewno pomógł sposób, na jaki opisano dziurę na liście Buqtraq - stosując takie określenia jak "mimo maksymalnego poziomu zabezpieczeń" oraz "nie pomaga nawet firewall".

Faktem jest jednak, że dzięki programowi Outlook Express i jego domyślnym ustawieniom: widokowi HTML i okienku podglądu, potencjalna ofiara dziury Freiburg w ogóle nie musiała nic robić. Wystarczyło pozostawić otwartą skrzynkę odbiorczą i dostać złośliwego maila. A więc groźna stała się nawet poczta, mimo że dziura jest przecież w przeglądarce - innej aplikacji! Silnik MSHTML jest jednak między nimi wspólny…

Zmycie złej opinii po tak dużej wpadce jest trudne. Microsoft wydał oczywiście niemal od razu wersję 4.01 swojej przeglądarki, aby podkreślić że mimo wydania aktualizacji, pobieranie IE4 oznacza pobieranie już wersji wstępnie załatanej. Były to czasy sprzed Windows Update, automatycznych aktualizacji i szerokopasmowych połączeń. Stąd decyzja o ponownym wydaniu Internet Explorera, z jedynką po przecinku w wersji.

Zazwyczaj takie problemy były łatane przez dodatki Service Pack, ale wstyd było wydawać SP1 niecałe dwa miesiące po premierze. Poza tym, fatalne skojarzenia związane z możliwością szpiegowania sprawiły, że zdecydowano się po prostu usunąć wadliwe wydanie, zamiast oferować do niego dużą łatę. Dzięki kampanii prasowej, niektórzy nie chcieli być podatni ani przez chwilę.

Problem rozwiązano bardzo szybko, bo w ciągu dwóch dni od publikacji notatki o problemie. Niemniej, konsekwencje były poważne. Microsoft zareagował paniką, nakazując usunięcie przykładowych skryptów opisujących podatność i zastępując wersję 4.0 wydaniem 4.01. Ale powiedzenie, że Internet Explorer pozwala przeglądać z internetu nasz komputer, zostało z nami na zawsze. Powtarzano je nawet w czasach ostatniej wersji Internet Explorera, z 2013 roku - a więc szesnaście lat po "aferze Freiburg". Finalnie, marka Internet Explorer okazała się niemożliwa do uratowania. Choć podjęto wiele prób modernizacji produktu, ostatecznie po prostu go porzucono.