Trustworthy computing - igen igen

Jeg har i dette forum tidligere sat spørgsmålstegn ved Microsofts bestræbelser på at få deres kode gjort mere sikker. Første gang var om hvor nemt det var at oplåse en MS/Orange SPV mobiltelefon. Se længere nede i bloggen.

Nu er den så gal igen. CNet skriver her om, hvordan man med en meget simpel manipulation af en url har kunnet tilgå MS' Passport. Der er tale om en meget grundlæggende fejl i deres kode, og man kan undre sig over, at 1) det i det hele taget kan ske, og specielt at 2) det kan ske med Passport, som indeholder meget følsomme data og som derfor burde være beskyttet specielt godt.

Lur mig, om denne privatlivskatastrofe, som alle IT-folk nu råber op om, giver varige skrammer til MS. Selv om IT-pressen taler om enorme bøder, så tror jeg ikke, at MS kommer til at betale særligt meget for dette, eller at folk vil miste tilliden til firmaet og lukke deres Passportkonti. Folks hukommelse er kort, og om en uge er der ingen udenfor en smal IT-kreds, der snakker om dette. MS vil måske senere betale en sum penge for fejlen, men det vil være pebernødder for firmaet.

Men at det er en fejl af de større for firmaets bestræbelser på at lave Trustworthy Computing og være et sikkerhedsansvarligt firma, kan der næppe være tvivl om. Foreløbig synes folk ikke i nævneværdig grad at interessere sig for sikkerhed, så MS får flere chancer, inden fælden - om overhovedet? - begynder at klappe om firmaet pga. dets dårlige sikkerhed.

I al sin korthed: denne begivenhed er kun interessant for en flok IT-folk. Menigmand er som sædvanlig ligeglad, og det vil intet ændre for MS, dets kunder eller forretningsforbindelser.