Een onderzoeker van Bell Laboratories, onderdeel van het telecomconcern Lucent Technologies, deed de spectaculairste ontdekking. Hij vond een zwakke plek in de encryptietechniek die wordt gebruikt in de Secure Sockets Layer (SSL). Deze SSL wordt door tienduizenden commerciële websites gebruikt om financiële transacties te beveiligen. Zo zorgt SSL ervoor dat een credit card nummer zodanig wordt versleuteld dat het veilig via het Internet van de klant naar een verkoper kan worden verzonden. Overigens is de zwakke plek niet eenvoudig om uit te buiten. Voor iedere transactie die met SSL wordt uitgevoerd bedenkt de server een zogeheten `session key' – de code waarmee een koopopdracht wordt versleuteld. Het blijkt dat de `session key' te achterhalen is door de foutmeldingen uit te pluizen die een server genereert als er bij een transactie iets mis gaat. Een hacker moet echter wel een miljoen foutmeldingen veroorzaken om achter een `session key' te komen. Een wakkere systeembeheerder zou dat moeten opvallen. Volgens RSA Data Security, dat de SSL-encryptie samen met Netscape ontwikkelde, zou een hacker alleen maar achter de `sleutel' van één sessie kunnen komen. RSA brengt volgende maand een update uit waarin het beveiligingslek wordt aangepakt. Inmiddels werken bedrijven die voor hun webservers gebruik maken van SSL aan een fix. Microsoft heeft een tegengif bedacht waarbij de foutmeldingen worden gemaskeerd die een hacker nodig heeft om de `session key' in zijn bezit te krijgen. Blote broncode Een tweede beveiligingslek heeft geleid tot een woordenstrijd tussen Microsoft en de ontwikkelaars van software voor webservers. Door een bug is het mogelijk om de broncode te bekijken van scripts die op een HTML-pagina staan. Hoewel het altijd mogelijk is om de broncode van een webpagina te lezen horen de scripts, voor het uitvoeren van allerlei taken, onzichtbaar te zijn. Het blijkt nu dat gebruikers die ingebouwde beveiliging kunnen omzeilen door zelf een stukje code aan het eind van een HTML-pagina met scripts toe te voegen. Aangezien via scripts ook gebruikersnamen en wachtwoorden worden verzonden op het Internet is deze bug gevaarlijk en eenvoudig te exploiteren. De fout werd ontdekt en gemeld door medewerkers van de San Diego Source, het e-zine van een Amerikaanse zakenkrant. De bug is niet helemaal nieuw: vorig jaar werd het hetzelfde mankement gevonden in de Internet Information Server, de webserver van Microsoft. Toen schreven critici de bug toe aan Windows NT, waarop IIS draait. Dat is nu ook het verweer van Netscape, één van de producenten van webservers die door de nieuwe bug is getroffen. "Het zijn niet alleen de Netscape Enterprise en Application Servers die last hebben van deze bug, maar alle voor NT ontwikkelde serverprogramma's", aldus een zegsman. Hoewel de schuld bij Microsoft wordt gelegd, heeft Netscape een fix uitgebracht die zijn servers weer volledig veilig moet maken. Microsoft wijst de verwijten van de hand: iedere maker van serversoftware is voor zijn eigen beveiliging verantwoordelijk, aldus Redmond.