Van alle Internet-applicaties is e-mail waarschijnlijk de populairste. Iedereen weet dat deze applicatie een paar bijzondere eigenschappen heeft: e-mail kan onderweg door iedereen gelezen worden, je weet nooit of het aankomt (vaak niet) en, last but not least, in een mailtje kan je heel makkelijk doen of je iemand anders bent.
Die laatste eigenschap is een bron van vreugde voor talloze ‘practical jokers’ die hun collega’s met een zogenaamd mailtje-van-de-baas de stuipen op het lijf weten te jagen. Nu is deze grap al jaren geleden in zijn ultieme vorm uitgevoerd. De netwerkbeheerder van een Nederlands onderzoeksinstituut verstuurde op 1 april een mailtje dat rechtstreeks afkomstig leek te zijn van een systeem in het Kremlin. Niveau nihil, toegegeven, maar door de uitzinnige reactie van een groepje Amerikaanse netwerkgebruikers werd het toch nog een geslaagde dag.
Zelfs voor de ervaren gebruiker zorgt e-mail regelmatig voor verrassingen.
Een bekende valkuil is het beantwoorden van mail die behalve aan jezelf ook aan een groep andere mensen gestuurd is. Het volgende scenario moet de vaste e-mail-gebruiker bekend voorkomen: je krijgt een e-mail van de baas, gericht aan je hele afdeling. De inhoud van dat mailtje spreekt je dermate niet aan, dat je een kritisch briefje aan de afzender terugstuurt. Door per ongeluk een "r" in plaats van een "R" in te tikken (of een "R" in plaats van een "r", afhankelijk van het systeem) stuur je het vinnige briefje niet alleen naar je baas, maar ook naar al je collega’s, die ongestoord van een beginnend relletje kunnen meegenieten.
Andere problemen zijn iets subtieler. Zoals het gebruik van ‘aliases’ – koosnaampjes voor mensen waar je vaak mee correspondeert. Vorige week kreeg ik van een bevriende systeembeheerder een stapel mailtjes die onmogelijk voor mij bedoeld kon zijn: interne rapportages, shell-scripts en een paar goeie moppen. Ik bel hem op: wat is dat voor e-mail, zit er een foutje in jullie mail-configuratie? Dat bleek niet het geval. Wel was zijn staf recentelijk uitgebreid met een nieuwe medewerker die ook Onno bleek te heten. Krachtens zijn functie kreeg deze Onno standaard een kopie van elk bericht voor en door systeembeheerders. Dat er op het systeem al een alias "onno" gedefinieerd was – met het e-mail-adres van ondergetekende als werkelijk adres – was daarbij even over het hoofd gezien. En zo kon het gebeuren dat er door een minuscuul foutje een stapel vertrouwelijke, interne memo’s op straat kwam te liggen. Een firewall biedt hiertegen geen soelaas. Je kunt daarvan immers niet verwachten dat hij uitgaande e-mail ook inhoudelijk controleert.
Zouden de negatieve eigenschappen van e-mail afbreuk doen aan de populariteit ervan? Ik geloof er niets van. Stuurt u er een mailtje minder om? Welnee. Onveilig of niet, e-mail is en blijft razend populair.
Ongetwijfeld is Java hetzelfde lot beschoren. Dit fraaie taaltje wordt door sommige beveiligingsdeskundigen met argusogen bekeken, omdat je als eenvoudige surfer niet kunt weten wat er gebeurt als je een Java-applet opstart. Hun wantrouwen is er na de recente ontdekking van een lek in de beveiliging niet minder op geworden.
Het blijkt relatief eenvoudig om in te breken op een communicatiesessie tussen een Java-client en een Java-server. Zulke verbindingen worden, volgens Netscape, door de Java Applet Security Manager geautoriseerd op basis van de domeinnaam van de Java-server. Het lek wordt veroorzaakt doordat de Domain Name Service (DNS), de software die zulke domeinnamen naar IP-adressen vertaalt, gemakkelijk om de tuin te leiden is. Hierdoor communiceert de Java-client zonder het te weten met een andere Java-server. Netscape heeft weer onmiddellijk een ‘patch’ beschikbaar gesteld: de autorisatie van netwerkverbindingen vindt nu niet meer plaats op basis van gekwalificeerde domeinnamen maar op basis van IP-adressen.
Dat klinkt indrukwekkend en ziet er op papier mooi uit, maar is in werkelijkheid niet meer dan een schijnoplossing. Want ook een IP-adres kan gemakkelijk worden nagebootst. Net als een e-mail- client weet een Java-applet dus nooit zeker wie zijn communicatiepartner is. En net als e-mail zal Java een daverend succes worden, onveilig of niet. De vooruitgang hou je nu eenmaal niet tegen.