De discussie is geopend door Peter Gutmann, een specialist in encryptie (het versleutelen van bestanden) uit Nieuw-Zeeland. In een artikel onder de kop Where do your encryption keys want to go today doet Gutmann uit de doeken welke zwakke plekken hij in MSIE heeft gevonden. Het gaat daarbij vooral om de wijze waarop de browser de digitale `sleutels' op de harde schijf bewaart. Zulke sleutels of certificaten worden verkocht door bedrijven als VeriSign en zijn bedoeld om de identiteit van de gebruiker vast te stellen als die op het World Wide Web geld overmaakt of vertrouwelijke informatie wil bekijken. Gutmann zegt dat hackers eenvoudig een PC die op het Internet is aangesloten kunnen binnendringen en er daarna vandoor kunnen gaan met de digitale certificaten. Die zijn volgens hem makkelijk te kraken. Russ Cooper, redacteur van de nieuwsbrief NT Bugtraq, spreekt dat tegen. Hij verwijt de Nieuwzeelandse encryptiespecialist ervan de aandacht van de media te willen trekken door de risico's op diefstal van de certificaten te overdrijven. Cooper erkent dat als de certificaten gestolen kunnen worden de identiteit van de gebruiker wordt geroofd. Maar volgens hem maakt slechts een erg klein deel van de surfers gebruik van de certificaten – en dan ook nog eens niet voor belangrijke zaken. De Bugtraq-redacteur zegt verder dat het alarmerend artikel van Gutman tal van technische fouten bevat. Gutmann gaat er van uit dat surfers Internet Explorer 3.0 hebben geïnstalleerd, dat de relatief zwakke encryptiemethode RC2 gebruikt om de certificaten te versleutelen. Maar de methode die Gutmann hanteert om die certificaten te stelen vraagt om inzet van de Internet Explorer 4.0. Dat maakt gebruik van de veel sterkere DES-versleuteling. Om de certificaten te pikken wendt Gutmann de RES-bug aan (zie WebWereld van 11 november), waarbij een hacker IE 4.0 het buffergeheugen van de browser laat `overlopen' om vervolgens commando's rechtstreeks aan de computer te geven. "Als je IE 3.0 gebruikt kun je geen programma's via het Internet op andermans PC draaien", zegt Cooper, "Je kunt dan alleen de commando's uitvoeren door de gebruiker een niet-goedgekeurde ActiveX-control te laten downloaden. Dan is in principe alles mogelijk." Versie 3.0 en 4.0 van Explorer hebben beveiliging tegen kwaadaardige ActiveX-objecten ingebouwd. [Onno Hektor, Marketing Manager Internet Customer Unit van Microsoft in Hoofddorp, meent dat enige nuance in het bovenstaande bericht op zijn plaats is: hij wijst er op dat de fouten die in de beide versies van Explorer (3.0 en 4.0) worden genoemd al lang verholpen zijn in releases 3.02 en 4.01. Gutmann en Cooper halen dus ouwe koeien uit de sloot, aldus Hektor.]