Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/12/2009
Flere løsninger til at opbygge VPN (virtuelt privat netværk) med SSL (Secure Sockets Layer) uden særlig klientsoftware har en sårbarhed, der kan give uvedkommende adgang til fortrolig information.Med et klientløst VPN kan brugere få adgang til deres virksomheds interne systemer over internettet uden at skulle installere en særlig VPN-klient.
Sårbarheden skyldes den måde, SSL-baserede VPN fungerer på: De omskriver links, før de sendes ud til browseren. Hvis omskrivningen fungerer sådan, at alle sider ser ud til at komme fra den samme server, ødelægger det cookiesikkerheden: Så får enhver webserver adgang til alle cookies.
Ifølge en advarsel fra US-CERT (United States Computer Emergency ReadinessTeam) er systemer fra Cisco og Juniper sårbare. Flere systemer er ikke sårbare, og en lang række er situationen ikke afklaret for.