Musen viser ikke altid, hvor linket viser hen

Musen viser ikke altid, hvor linket viser hen

Share

Hold musen hen over ethvert link, du får vist, og se hvor det viser hen. Det gælder desværre langt fra altid

Mange kender det gamle råd om at holde musen hen over et link, hvorpå det så fremgår nede til venstre i browseren, hvor linket faktisk fører hen. På den måde kan du sikre dig mod phishing-sites fra it-kriminelle, som gerne vil narre dig ind på deres falske hjemmesider.

”Men det råd kan du ikke altid regne med,” fastslår sikkerhedskonsulent Thomas Bøjstrup Johansen, der er tilknyttet det særlige Incident Response Team i it-sikkerhedsfirmaet Dubex. Det er nemlig muligt i CSS, Javascript og andre programmeringssprog, der definerer udseendet af et HTML-dokument, at indsætte en kode, der aktiverer en anden adresse, og så virker den ellers udmærkede funktion ikke. 

Den luskede kode bevirker, at linket har én værdi, når musen bliver holdt henover, og en anden, når du klikker og aktiverer linket. Et eksempel kunne være:

<a id=”sikker” href=”https://www.dinbank.dk” onmouseover=”document.getElementById(’sikker’).href=’https://www.dinbank.dk’” onclick=”document.getElementById(’sikker’).href=’https://dubex.dk’”>
www.dinbank.dk
</a>

Ikke noget nyt påfund

Det onde kneb virker efter sigende både i Edge, Chrome og Firefox. Til gengæld skulle det ikke umiddelbart være muligt at få hverken Googles Gmail eller Microsofts Outlook til at eksekvere sådan en script-kode.

Se også:  Alt om DATA under angreb

Thomas Bøjstrup Johansen kan konstatere, at samme trick i dag anvendes i flere og flere tilfælde med det formål at lokke dig ind på forskellige falske sider for at franarre dig penge eller oplysninger eller begge dele.

Forklaringen er måske, at de fleste gamle skrivebords-pc’er fik installeret gode anerkendte mail-programmer som Outlook, Outlook Express, Thunderbird eller andre, og disse mail-programmer gav ikke mulighed for at afvikle aktive koder. Men i dag anvender flere og flere webmail, der jo afvikles direkte online uden et specielt installeret mail-program, og dertil kommer, at moderne browsere mægtigt gerne vil give en god grafisk brugeroplevelse og derfor også tillader brug og ikke mindst misbrug af aktiv kode.

Mange større webmail-udbydere som eksempelvis Google, Microsoft mv. har forsøgt at overføre nogle af de sikkerhedsfunktioner, der lå indbygget i de gamle mail-programmer, til deres nye webmail-software, så de eksempelvis kan filtrere aktive koder fra, når de gengiver en HTML-mail.

Se også:  Overvågningskameraer [STORTEST]: Små brødre ser dig

Men i takt med udbredelsen af webmail er det også blevet sværere for den almindelige og ikke specielt scriptkyndige it-bruger at gennemskue, hvad der sker og gardere sig mod det, for det forudsætter en smule kendskab til HTML-koder.

Sådan laver du et script

Med et scripting-sprog som eksempelvis det særdeles anvendte programmeringssprog JavaScript, kan du skrive aktive koder direkte i dine HTML-filer og gøre din hjemmeside interaktiv/dynamisk (så indholdet kan ændres alt efter input fra brugeren). Med JavaScript kan du på den måde lave popup-vinduer, en besøgstæller og en personlig hilsen til alle besøgende, en lommeregner, en billedfremviser, advarsels-popup skilte og meget mere.

En simpel script-kode i et HTML-dokument kan se sådan ud: 

kan se sådan ud:
1 <html>
2 <head>
3 <title>JaveScript<title>
4 </head>

5 <body>
6 <script type=”text/javascript”>
7 document.write(”HEJ MED DIG!”);
8 </script>
9 </body>
10 </html>

Dette simple script vil udskrive “HEJ MED DIG” på din side.

Del denne