פרצת ג'אווה סקריפט נתגלתה בגוגל כרום

מתברר כי אפילו דפדפן כרום של גוגל (Google), שבפיתוחו ניתנה עדיפות עליונה לאבטחה, אינו חסין מפני פרצות: רוברט הנסן (המכונה RSnake), מנכ"ל חברת SecTheory שעוסקת בייעוץ בנושא אבטחת מידע, גילה פרצה באופן בו מעבד דפדפן כרום קוד ג'אווה סקריפט בזמן שהמשתמש בוחן קוד מקור של דף אינטרנט.

בבלוג שלו פרסם הנסן קישור לדף אינטרנט שבו מומחשת הפרצה, ומוצע למשתמשים "שמצליחים לראות זאת לבחור בדפדפן אחר", משום שהדבר פותח פתח למתקפות שעושות שימוש בהנדסה חברתית כנגד מפתחי אינטרנט.

בתגובה מסר דובר גוגל, כי בכוונת החברה לתקן את הפרצה בהקדם. "אנו סבורים שמרבית המשתמשים אינם נתונים בסיכון מיוחד משום שאינם נוהגים לצפות בקוד מקור של דפי אינטרנט", על פי דובר החברה, "אך אנו פועלים לתקן את ההתנהגות שצוינה".

הנסן עצמו הודה שהסיכון הנובע מהפרצה אינו גדול, הן משום שרק מפתחים מרבים לצפות בקוד מקור של דפי אינטרנט והן משום שמספר המשתמשים בדפדפן כרום מועט. "לא מדובר ברעידת אדמה", אמר הנסן בריאיון טלפוני. "עם זאת, נוטים להפריז ברמת האבטחה של דפדפן כרום. הוא מבוסס על מנוע Webkit ומנוע Webkit אינו בהכרח בטוח".

מנוע Webkit, בעל קוד מקור פתוח, משמש הן את דפדפן כרום של גוגל והן את דפדפן ספארי של אפל (Apple). דפדפן אקספלורר של מיקרוסופט (Microsoft) מבוסס על מנוע Trident ואילו פיירפוקס של מוזילה מבוסס על מנוע Gecko. על פי הנסן, מנוע Webkit אינו נחשף למספיק ביקורת, בשל המספר המועט של המשתמשים בדפדפנים שמבוססים עליו, ולדבריו גם פיירפוקס סובל מבעיה דומה: "רק קבוצה אקראית של מפתחים תורמת לו", אמר הנסן והוסיף כי אינטרנט אקספלורר בטוח בהרבה ממתחריו משום שמספר המשתמשים בו גבוה בהרבה.

בשלושה החודשים האחרונים פרסמה מיקרוסופט שלושה עדכונים ביחס לרכיבי תוכנה שאינם שייכים לדפדפן עצמו, אך פוגעים ברמת האבטחה של אינטרנט אקספלורר. אולם, למרות ששיטות הפיתוח של מיקרוסופט משפרות את רמת האבטחה, לפחות מבחינת היחס בין מספר הבאגים למספר השורות בקוד (וגם על כך יש מי שחולק), הרי שהנסן אינו ממליץ דווקא על אינטרנט אקספלורר: "אינני טוען שמי שמשתמש באינטרנט אקספלורר מוגן. אף דפדפן אינו בטוח", על פי הנסן. הוא עצמו משתמש בפיירפוקס משום שדפדפן זה "יעיל יותר לצורכי פריצה".