Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/3/2006
Halvdelen af webstederne i en undersøgelse gjorde det muligt at finde frem til brugernes navne via en funktion for folk, der havde glemt deres password.Sikkerhedsfirmaet Securetest gennemførte testen på 107 engelske websteder. 54 af dem havde sårbarheden.
Sårbarheden ligger i, at man kan indtaste et brugernavn og bede om at få tilsendt sit password. Hvis brugeren eksisterer, svarer web-applikationen, at den har sendt et password til brugerens mail-adresse.
Men hvis brugeren ikke eksisterer, svarer nogle web-applikationer, at brugeren ikke eksisterer. Dermed er det muligt at sætte et program til at afprøve brugernavne, indtil man finder et, der ikke giver en fejlmeddelelse. Derefter kan programmet afprøve diverse kendte adgangskoder sammen med brugernavnet.
Sårbarheden gør det altså ikke muligt for angriberen at få tilsendt brugerens password. Han kan kun afgøre, at brugeren er oprettet på systemet.