'Secure Sockets Layer in Internet Explorer is lek'

Het probleem is ontstaan door de manier waarop Microsoft de beveiligingstechnologie Secure Sockets Layer (SSL) in Internet Explorer-versies 5.0, 5.5 en 6.0 heeft geïmplementeerd. Volgens Benham controleert Internet Explorer namelijk niet wat de reikwijdte is van een digitaal certificaat. Dergelijke certificaten kunnen aangevraagd worden bij organisaties als Verisign om de legitimiteit van websites te garanderen. Dat Internet Explorer de reikwijdte van een toegekend certificaat niet controleert, betekent dat iedereen die beschikt over een certificaat voor een bepaald domein zich ook in alle andere domeinen voor kan doen als betrouwbare partner zonder dat dit gegarandeerd wordt door een certificaat voor het domein in kwestie. Dat maakt het mogelijk om sessies van internetgebruikers te kapen via een zogeheten 'man in the middle'-opzet. Hoewel dat gebeurt met een ongeldig certificaat, krijgen de gebruikers van Internet Explorer daar geen waarschuwing van, aldus Benham. Als Benham gelijk heeft, zou dat grote gevolgen hebben voor de veiligheid van financiële transacties via internet. Andere beveiligingsexperts hebben de indruk dat een dergelijke methode van stelen van persoonlijke gegevens inderdaad mogelijk is. Microsoft bestudeert nog of dit achterdeurtje inderdaad wel bestaat en zo ja, hoe ernstig de gevolgen zijn. (jwy)