HTML-támadás böngészőn keresztül

Akad néhány böngésző – mint például az Internet Explorer vagy az Opera -, amely lehetővé teszi különböző káros alkalmazások működését nem HTTP protokollal rendelkező környezetben is.

Az ilyen nem HTTP-alapú szolgáltatások során a felhasználó által elküldött információk visszaérkeznek (echo), ám a böngésző egyszerű HTML oldalként érzékeli az echo-t, figyelmen kívül hagyva a protokollt. Így néhány kellemetlenkedő felhasználó előállhat azzal a megoldással, amelynek során JavaScriptek echózódnak vissza. Ebben az esetben lehetőségük van a behatolóknak a cookie-k ellopására, és más illetéktelen folyamatok véghezvitelére.

A jelenség minden Internet Explorer 6, Opera 6.0, és ezek régebbi verziót érinti. Annak ellenére, hogy két hónapja került nyilvánosságra az IE ezen hibája, a Microsoft még nem tett semmit a javítókód publikálása érdekében, az Opera csoport pedig ígéretet tett, hogy egy héten belül orvosolja a problémát. Annyit lehet tenni, hogy informálódunk a secure@microsoft.com e-mailcímen, ahol további tájékoztatás mellett talán megszerezhető a patch is.