JavaScript ™ in Web-Seiten
JavaScript ™ ist ein Warenzeichen von Sun Microsystems, Inc. (laut http://www.sun.com/suntrademarks/ zur Zeit 2004-05-11). Es handelt sich um eine Sprache zur Steuerung von Rechnern, die durch die “JavaScript Language Specification ” festgelegt wird, welche unter der Adresse "http://developer.mozilla.org/en/docs/Category:JavaScript:References" erhältlich ist.
JavaScript ™ kann in Web-Seiten enthalten sein
Web-Seiten bestehen zunächst aus einem Text, dem Quelltext, der auf Anfrage von einem Webdienst an ein Anzeigeprogramm geschickt wird. Bei der Anzeige einer Seite erscheint in der Regel jedoch nicht dieser Quelltext, sondern nur ein Teil davon, den Textinhalt. Andere Teile des Quelltextes können Informationen enthalten, um den Typ eines Textes zu bestimmen, etwa um Überschriften zu kennzeichnen. Diese kennzeichnenden Texte (Auszeichnungen des Textinhalts) werden dann nicht direkt angezeigt, sondern interpretiert, um die Art der Anzeige festzulegen.
In Quelltext können auch noch Steueranweisungen für das Anzeigeprogramm versteckt werden. Diese Anweisungen werden dem Leser der Seite normalerweise nicht angezeigt. Statt dessen veranlassen sie das Anzeigeprogramm zu bestimmten Aktionen, wie beispielsweise zum Öffnen eines neuen Fensters. Solche Anweisungen werden allgemein auch als aktive Inhalte bezeichnet, denn ihre Interpretation bewirkt ja bestimmte Aktionen : Man sagt auch, die aktiven Inhalte würden bei der Interpretation ausgeführt oder aktiviert werden. Die Anweisungen müssen dazu in einer bestimmten Sprache formuliert sein.
Bei aktiven Inhalten, die in einer sogenannten Skriptsprache geschrieben sind und so als Text in einer Web-Seite enthalten sein können, spricht man auch von Scripting (also der Verwendung von Steuerprogrammen, die „Skripte“ genannt werden), die aktiven Inhalte werden dann auch „Scripting-Code “ oder „Skripte “ genannt. Eine Sprache für solche Anweisungen ist JavaScript ™ (auch bekannt als ECMA-Skript ), eine andere Sprache VBScript. Das hier für die verbreiteteste Skriptsprache JavaScript ™ Gesagte, trifft aber meistens auch auf andere Skript-Sprachen und auf Scripting allgemein zu.
Ein Skript kann direkt in einer Web-Seite enthalten sein. Es ist auch möglich, daß die Web-Seite auf eine weitere Quelle verweist, die das Skript enthält und dann ebenfalls vom Anzeigeprogramm abgerufen und interpretiert werden kann.
JavaScript ™ steuert Rechner aus der Ferne
JavaScript ™-Anweisungen übergeben die Kontrolle über einen Rechner also teilweise an einen fernen fremden Rechner, der den Rechner, auf dem eine Web-Seite angezeigt wird, nun fernsteuern kann. Damit kann ein fremder Rechner auch schädliche oder störende Aktionen auf dem anzeigenden Rechner veranlassen.
Es besteht bei der bloßen Anzeige einer Web-Seite das Risiko, daß der anzeigende Rechner durch einen fernen Rechner in schädlicher Weise mit JavaScript ™ ferngesteuert wird.
JavaScript ™ kann ausgeschaltet werden
- Heuer 's Law
- Any feature is a bug unless it can be turned off.
- 1990
Da allen Herstellern klar ist, wie gefährlich der Mißbrauch von JavaScript ™ sein kann, besteht bei Anzeigeprogrammen die Möglichkeit, JavaScript ™ auszuschalten.
Viele gefährliche Sicherheitslücken, von denen weiter unten noch berichtet werden wird, können durch das Abschalten von JavaScript ™ gestopft werden. Gleichzeitig werden Belästigungen durch sich unerwünscht öffnende Fenster oder verschiedene Manipulationen von Informationen unterdrückt. Deswegen haben viele Benutzer JavaScript ™ inzwischen bewußt deaktiviert.
Active Scripting erweitert Scripting
Einige Produkte enthalten eine Erweiterung des Scripting, das sogenannte Active Scripting. Dadurch wird es möglich, bestimmte Programm-Komponenten durch Scripting zu steuern. Gesteuert werden können COM -Komponenten und ActiveX ™-controls, die bestimmte Schnittstellen anbieten und als „sicher für Scripting“ gekennzeichnet wurden. Dieses Active Scripting erweitert die Möglichkeiten eines Skripts dann um die Fähigkeiten, die von dieser Programmkomponente bereitgestellt werden. Damit kann ein Programm dann auch solche Fähigkeiten, die ursprünglich nicht für Skripte vorgesehen waren, erlangen. Eine solche Fähigkeit kann beispielsweise die Veränderung von Dateien oder das Ausführen beliebiger Kommandos sein. Durch diese Erweiterung der Fähigkeiten eines Skripts kann das Risiko schadhafter oder bösartiger Skripte noch einmal vergrößert werden.
Viele Browser mit Active Scripting, erlauben es, Active Scripting zu deaktivieren. Damit wird bei diesen Produkten dann oft auch JavaScript ™ abgestellt. Die Möglichkeit, nur die Steuerbarkeit von ActiveX ™-Komponenten auszuschalten, aber JavaScript ™ weiterhin aktiviert zu lassen, besteht selten. Bei solchen Produkten fällt dann das Aktivieren oder Deaktivieren von Active Scripting mit dem Aktivieren oder Deaktivieren von JavaScript ™ (oder JScript, VBScript und anderen Skriptsprachen) zusammen. Deswegen wird in diesem Artikel zwischen diesen beiden Möglichkeiten meist nicht unterschieden.
Web-Seiten, die JavaScript ™ „benötigen“
Manche Web-Seiten verwenden JavaScript ™ auch, um nützliche Funktionen anzubieten. So kann ein JavaScript ™-Programm beispielsweise eine Währungsumrechnung erledigen oder die Eingaben in Formularen vor dem Absenden auf Plausibilität überprüfen. Ein Webdienst kann sich aber nicht auf solche JavaScript ™-Prüfungen verlassen, weil sie zu leicht umgangen werden können. Die Eingaben müssen daher ohnehin noch einmal durch den Webdienst geprüft werden, nachdem er die Formulardaten erhalten hat. Daher sind die JavaScript ™-Prüfungen nicht wirklich nötig. Auch eine Währungsumrechnung kann durch einen Dienst ganz ohne JavaScript ™ erledigt werden.
JavaScript ™ wird oft für Aktionen eingesetzt, für die es gar nicht nötig wäre, etwa zur Navigation (dem Wechsel auf andere Seiten). Mit JavaScript ™ verwirklichte Verbindungen zu anderen Seiten können dann oftmals auf einfache Weise nur noch mit JavaScript ™ erreicht werden. Dies ist bedauerlich, weil es Benutzern, die JavaScript ™ aus Sicherheitsgründen deaktiviert haben, ohne Sinn und Not die Navigation erschwert oder unmöglich macht. Sie müssen jetzt entweder ganz auf die Nutzung einer Seite verzichten oder JavaScript ™ wieder aktivieren. (Fortgeschrittene Nutzer könnten auch den Quellcode einer Seite lesen und dann die gewünschte Adresse aus den darin vorhandenen JavaScript ™-Anweisungen ermitteln.)
Wenn JavaScript ™ angeblich benötigt wird, ist es selten wirklich nötig. Manche Webangebote werden aber leider so aufgebaut, daß sie ohne JavaScript ™ nicht mehr verwendet werden können, obwohl es dabei selten einen guten Grund für den Einsatz von JavaScript ™ gibt.
Warum wird JavaScript ™ verlangt?
Es ist nicht ganz klar, weshalb Webdienste oft unnötigerweise so aufgebaut werden, daß sie ohne JavaScript ™ nicht verwendet werden können. Manchmal erlaubt es JavaScript ™, die Benutzer von Webdiensten auszuforschen, sie zu kontrollieren, zu täuschen, einzuschränken oder ihnen Werbung aufzudrängen, wie weiter unten beschrieben wird. Vielleicht soll sichergestellt werden, daß JavaScript ™ auch wirklich aktiviert ist, indem ein Dienst absichtlich so gestaltet wird, daß er nur mit aktiviertem JavaScript ™ verwendet werden kann, obwohl dies technisch gar nicht nötig wäre, um dann JavaScript ™ für fragwürdige Aktivitäten zu verwenden.
Möglicherweise gibt es auch Hersteller von Webangeboten, die mit der Gestaltung einer Web-Seite überfordert sind, die auch ohne JavaScript ™ verwendet werden kann. In den Einführungskursen in Webgestaltung wird manchmal nur die Herstellung von Seiten für Klienten mit aktiviertem JavaScript ™ (und Flash ™ ) behandelt. Manchmal wird dann erst in den Aufbaukursen für Fortgeschrittene behandelt, wie Seitensysteme so erstellt werden, daß sie auch ohne JavaScript ™ zugänglich sind. Manche Agenturen beherrschen daher diese Technik einfach nicht und erstellen deshalb nur mit JavaScript ™ zugängliche Seiten. Manche „Web-Agenturen“ werden von Personen geleitet, die nach einer kurzen Umschulungsmaßnahme gerade einmal ein Programm zum Erzeugen von Web-Seite bedienen können, ohne zu wissen, wie dabei die vielleicht als Vorgabe eingestellte Verwendung von JavaScript ™ abgestellt werden kann.
Einige Agenturen glauben vielleicht auch selber der Werbung einiger Unternehmen, die JavaScript ™ sogar als Fortschritt anpreist, etwa unter der Bezeichnung „DHTML“.
Andere Agenturen bauen Seiten auch absichtlich kompliziert auf und verwenden dabei möglichst viel unnötige Technik, nur damit die Seiten künstlich verteuert werden und ihr Auftraggeber den Eindruck erhält, daß er solch eine „komplizierte Seite“ gewiß nicht selber hätte erstellen können. Daß die Seiten durch den unnötig komplizierten Aufbau weniger Besucher haben und in Suchmaschinen schlechter gefunden werden könnten, ist vielleicht nicht jedem Auftraggeber bewußt.
Auch manche Auftraggeber verlangen vielleicht selber von Agenturen unnötige Funktionen, weil sie aus Unkenntnis die Gesetzlichkeiten anderer Medien auf HTML übertragen wollen. Solche Funktionen werden dann teilweise mit JavaScript ™ realisiert—daß die Seiten dadurch gar nicht mehr von allen Anzeigeprogrammen richtig dargestellt werden, wird während der Präsentation mit einem bestimmten Anzeigeprogramm, das gerade zu der verwendeten JavaScript ™-Lösung paßt, dann ja nicht sichtbar.
Zum Abschluß dieses Abschnitts sei noch einmal klargestellt, daß es neben Angeboten, die JavaScript ™ nicht verwenden und solchen, die JavaScript ™ voraussetzen, auch noch die Möglichkeit gibt, ein Angebot zu schaffen, das zwar JavaScript ™ verwendet, aber auch ohne JavaScript ™ zugänglich (lesbar und nutzbar) bleibt. Während es mangelhaft ist, wenn ein Angebot ohne JavaScript ™ nicht zugänglich ist, obwohl dies technisch möglich wäre, ist es durchaus akzeptabel, wenn ein Angebot zwar JavaScript ™ verwendet, aber auch ohne JavaScript ™ so weit wie möglich zugänglich bleibt.
HTML -Nachrichten
Auch Netznachrichten (“e-mail ”) können in HTML geschrieben werden und dann auch JavaScript ™-Anweisungen enthalten. Hier ist das Risiko noch größer als bei Webdiensten, da der Absender einer Netznachricht seine Identität sehr gut verstecken kann. Daher ist es sehr empfehlenswert, bei der Anzeige von HTML -Nachrichten JavaScript ™ zu deaktivieren.
Ganz schlimm sind die Webmail-Dienste, welche JavaScript ™ „benötigen“, weil hier die Aktivierung von JavaScript ™ wegen der Gefahren durch JavaScript ™ in HTML -Nachrichten gerade besonders gefährlich ist. Zwar verwenden diese Dienste Filter, die gefährliche JavaScript ™-Bestandteile in Netznachrichten entfernen sollen, doch sind solche Filter nie ganz sicher. So zwingen diese Dienste ihre Benutzer, das gefährliche JavaScript ™ gerade zur riskanten Anzeige von Nachrichten unbekannter Absender zu aktivieren, während sie gleichzeitig immer neue „Sicherheitsinitiativen“ im Munde führen und beteuern, daß Sicherheit für sie nun höchsten Vorrang habe.
JavaScript ™ gezielt freigeben
Erleichtert wird die Situation durch Anzeigeprogramme, die sicherheitsbewußte Benutzer dadurch unterstützen, daß sie es erlauben, JavaScript ™ schnell, etwa mit einer Tastenkombination, jederzeit ein- oder auszuschalten. Hier kann ein Benutzer JavaScript ™ vorübergehend aktivieren, wenn es unbedingt nötig ist und er dem Seitenanbieter hinreichend vertraut, und es anschließend sofort wieder deaktivieren.
Auch hilfreich sind Anzeigeprogramm, die es gestatten, JavaScript ™ gezielt für bestimmte Dienste freizuschalten, während es für andere Dienste deaktiviert bleiben kann. Bei der Verwendung solch eines Programms wird JavaScript ™ zunächst einmal deaktiviert. Falls nun ein bestimmter Dienst unbedingt JavaScript ™ benötigt und der Benutzer das Risiko in diesem Fall als hinreichend klein ansieht, so kann er dann für diesen Dienst gezielt JavaScript ™ freigeben.
Diese Lektion behandelt nicht die Frage, wie genau ein Anzeigeprogramm konfiguriert und bedient werden muß, um die Funktionen nutzen zu können, welche in diesem Abschnitt beschrieben wurden. Hierzu ist eine Bedienungsanleitung oder ein Lehrgang für das verwendete Anzeigeprogramm heranzuziehen.
JavaScript ™ kann Benutzer stören
JavaScript ™ kann eingesetzt werden, um Leser von Web-Seiten zu belästigen.
Bekannt sind die Zwangsfenster : Beim Öffnen einer Web-Seite erscheint noch ein weiteres Fenster, das der Benutzer des Programms gar nicht zu sehen wünschte. Oft enthält solch ein Störfenster Werbung. Es ist auch möglich, daß sich ein Störfenster erst öffnet, nachdem eine Seite geschlossen wurde.
Durch JavaScript ™ können dem Benutzer auch gezielt falsche Informationen gegeben werden. Viele Anzeigeprogramme zeigen bei der Positionierung der Zeigerspitze auf dem Text der Verbindung in einer Statuszeile die zu dieser Verbindung gehörende Adresse an. Mit JavaScript ™ kann an dieser Stelle statt dessen ein beliebiger anderer Text angezeigt werden, um die tatsächliche Adresse zu verbergen oder eine andere Adresse vorzutäuschen.
Es ist auch möglich, daß ein Benutzer in seiner Informations- oder Handlungsfreiheit eingeschränkt wird. So kann JavaScript ™ dazu verwendet werden, um neue Fenster zu öffnen, welche Seiten anzeigen, ohne daß deren Adresse sichtbar wird. Solchen Fenstern fehlen dann auch oft absichtlich Bedienelemente, um den Benutzer weiter einzuschränken. Benutzer können bei bestimmten Anzeigeprogrammen zu Seiten aber auch dadurch Informationen erhalten, daß sie das Kontextmenü verwenden, was dann auch konsequenterweise durch JavaScript ™ gleich vollständig deaktiviert werden kann.
Schließlich können mit JavaScript ™ auch noch Informationen über das System eines Benutzers erlangt und an einen fernen Rechner weitergeleitet werden, beispielsweise über die Zahl der Bildpunkte des Anzeigesystems.
Durch das Abschalten von JavaScript ™ kann den genannten Täuschungen und Einschränkungen ein Ende bereitet werden.
JavaScript ™ kann bestimmte Lesergruppen ausgrenzen
Bestimmte Hilfsprogramme für Behinderte, wie etwa Vorleseprogramme, haben Schwierigkeiten mit Skripten.
Manche potentielle Leser einer Web-Seite sind in Organisationen tätig, in denen JavaScript ™ aus Sicherheitsgründen von der Rechnerverwaltung so deaktiviert wurde, daß der Benutzer am Arbeitsplatzrechner es selber gar nicht wieder aktivieren kann.
Es gibt auch einige Anzeigeprogramme für Web-Seiten, die JavaScript ™ gar nicht oder nur eingeschränkt unterstützen.
Schließlich gibt es viele Webnutzer, die JavaScript ™ bereits deaktiviert haben. Manche Statistiken weisen deren Anzahl nur deshalb als gering aus, weil sie in bestimmten Fällen Nutzer mit deaktiviertem JavaScript ™ nicht erfassen, etwa wenn diese schon schlechter auf die zur Zählung verwendete Seite gelangen können.
Somit grenzen Seiten, die JavaScript ™ verlangen, bestimmte Gruppen von vorneherein aus.
Verschlüsseltes JavaScript ™
Als wäre das Sicherheitsrisiko durch JavaScript ™ alleine noch nicht groß genug, wird auf einigen Web-Seiten auch noch verschlüsseltes JavaScript ™ eingesetzt.
Hierbei wird ausgenutzt, daß JavaScript ™ innerhalb einer Web-Seite einen beliebigen Text als Skript ausführen kann. Somit kann ein verschlüsseltes Skript als Text in einem anderen Skript enthalten sein. Beim direkten Lesen des enthaltenden Skripts kann dann das enthaltene verschlüsselte Skript nicht verstanden werden. Durch diese Verschlüsselung kann ein bösartiges Skript als noch wirksamer vor der Inspektion verborgen werden. Ein Leser mit Kenntnissen in der Sprache JavaScript ™ kann solch ein verschlüsseltes Skript allerdings wieder mit mehr oder weniger Aufwand entschlüsseln und dann verstehen.
Ein Programm, das es auch weniger gut ausgebildeten Programmierern erlaubt, ihre Skripte so zu verschlüsseln, kommt unter der Bezeichnung Windows Script Encoder ausgerechnet von dem Unternehmen Microsoft Corporation, das so gerne Sicherheitsinitiativen für Software und Computer verkündet.
Stimmen zu JavaScript ™
Die Zugänglichkeitsrichtlinien des maßgeblichen World Wide Web Consortium verlangen, daß Seiten ohne JavaScript ™ verwendbar sein müssen. Diese Forderung wird sinngemäß von der Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz übernommen. Das Bundesamt für Sicherheit in der Informationstechnik rät dringend, bei der Nutzung des Internets die Interpretation von aktiven Inhalte abzustellen und empfiehlt den Betreibern von WWW-Servern dringend, vollständig auf JavaScript ™ zu verzichten. Der Hersteller Microsoft Corporation empfiehlt zur Abwehr von Angriffen, die Sicherheit für die „Internetzone“ auf „hoch“ zu setzen und damit Active Scripting zu deaktivieren. Laut DPA riet im Juni 2004 die Abteilung für Computerüberwachung des Ministeriums für Heimatverteidigung der Vereinigten Staaten von Amerika den Computer-Nutzern „JavaScript zu deaktivieren, falls es nicht unbedingt benötigt wird“.
- Zugänglichkeitsrichtlinien für Web-Inhalte 1.0
- World Wide Web Consortium
- 2004-05-04
- http://www.w3c.de/Trans/WAI/webinhalt.html
- Das maßgebliche World Wide Web Consortium gibt Richtlinien aus, die erklären, wie Web-Seiten so gestaltet werden können, daß sie auch für Behinderte möglichst zugänglich bleiben. Die Verwendbarkeit von Seiten bei abgeschaltetem Javascript gehört dabei zur höchsten Prioritätsstufe 1, deren Anforderungen erfüllt werden müssen.
- „Sorgen Sie dafür, dass Seiten verwendbar sind, wenn Scripts, Applets oder andere programmierte Objekte abgeschaltet sind oder nicht unterstützt werden. Ist dies nicht möglich, stellen Sie äquivalente Information auf einer alternativen zugänglichen Seite bereit. [Priorität 1]“
- „[Priorität 1] Ein Entwickler von Web-Inhalten muss diesen Checkpunkt erfüllen. Andernfalls wird es für eine oder mehrere Gruppen unmöglich sein, auf die Information im Dokument zuzugreifen. Die Erfüllung dieses Checkpunkts ist eine grundlegende Erfordernis, damit bestimmte Gruppen Web-Dokumente verwenden können.“
- slr@2004-05-03T05:29:32+02:00
- BSI warnt vor dem Einsatz von Javascript
- Bundesamt für Sicherheit in der Informationstechnik
- 2004-05-04
- http://web.archive.org/web/20041009183807/http://www.bsi.bund.de/fachthem/sinet/java99.htm
- Das Bundesamt für Sicherheit in der Informationstechnik warnt vor dem Einsatz von JavaScript ™ :
- „In letzter Zeit wurden in den verbreiteten WWW-Browsern Microsoft Internet Explorer und Netscape Communicator zahlreiche neue Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX, JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. So können Angreifer beispielsweise Nutzerkennung mit Passwörtern oder auch lokal gespeicherte Daten von privaten und kommerziellen Internetnutzern ausspionieren. Grund für diese Fehler sind vor allem Programmierfehler - eine risikofreie Implementierung scheint kaum möglich zu sein. Selbst die Browserhersteller haben in diesem Zusammenhang schon dazu geraten, das Ausführen aktiver Inhalte, insbesondere von JavaScript, in den Browsern abzustellen. Da sich der Internet-Nutzer einem kaum einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der Nutzung des Internets auf aktive Inhalte zu verzichten.
- Während Java oder ActiveX jedoch nur auf wenigen WWW-Servern Verwendung findet, sind viele WWW-Server heute ohne JavaScript nur noch eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es ausschließlich für optische Spielerein genutzt. Diese WWW-Server könnten mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern dringend, vollständig auf JavaScript zu verzichten oder zumindest für ihre sicherheitsbewussten Kunden Alternativangebote bereitzustellen, die ohne aktive Inhalte dargestellt werden können.“
- „Hinweis vom Januar 2002: Die in dieser Pressemitteilung vom 21.09.1999 gemachten Aussagen sind nach wie vor gültig.“
- slr@2004-05-03T05:40:55+02:00
- Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz
- Bundesministerium des Innern
- 2002-07-17
- Bundesgesetzblatt Jahrgang 2002 Teil I Nr. 49, ausgegeben zu Bonn am 23. Juli 2002, Seite 2654
- Das Bundesministerium des Innern hat in Einvernehmen mit dem Bundesministerium für Arbeit und Sozialordnung eine Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz (BITV ) ausgegeben, die für die Behörden der Bundesverwaltung gilt, damit deren Veröffentlichungen für alle Bürger gut lesbar sind. Obwohl sie aufgrund ihres Geltungsbereichs nur für diese Behörden verpflichtend sind, gelten die Überlegungen, die zu dem Inhalt der Verordnung geführt haben, natürlich allgemein.
- In Anlage 1 dieser Verordnung wird als Anforderung mit Priorität 1 als Bedingung 1.1 verlangt, daß für „Scripts“ ein „äquivalenter Text“ bereitzustellen ist. Dadurch soll sichergestellt werden, daß die entsprechende Information zugänglich ist, auch wenn der Benutzer die Interpretation solcher Skripten nicht zuläßt. Bedingung 6.3 der Prioritätsstufe 1 lautet:
- „Es muss sichergestellt sein, dass mittels Markup-Sprachen geschaffene Dokumente verwendbar sind, wenn Scripts, Applets oder andere programmierte Objekte deaktiviert sind.“ Weiter unten wird dann noch zur Bedeutung von „Script“ erklärt: „In einer speziellen Programmiersprache (‚Script-Sprache‘ wie z.B. JavaScript) verfasstes Programm.“
- slr@2004-06-02T01:37:57+02:00
- Increase Your Browsing and E-Mail Safety: 4 Steps to Help Ward Off Hackers and Attackers
- Microsoft Corporation
- 2004-06-11
- http://www.microsoft.com/security/incident/settings.mspx
- http://www.microsoft.com/athome/security/online/browsing_safety.mspx
- Der Browser-Hersteller Microsoft Corporation empfiehlt auf dieser Seite “Set Your Browser Security to High (…) In the Internet Options dialog box, click the Security tab and then click the Internet icon (…) Under Security level for this zone, move the slider to High. ” Damit wird Active Scripting (einschließlich JavaScript ™ ) für die Internet-Zone deaktiviert. Die bisher für alle Web-Seiten empfohlenen Standardeinstellungen, sollten jetzt nur noch vom Benutzer als sicher erachteten Anbietern zugeordnet werden. Web-Angebote, die sich nicht davon abhängig gemacht haben, daß der Benutzer JavaScript ™ aktiviert hat, werden damit im allgemeinen nicht mehr verwendbar sein, während Web-Angebote ohne Abhängigkeit von JavaScript ™ weiterhin verwendet werden können.
- Nach einem sprunghaften Anstieg von Angriffen, die JavaScript ™ zum Eindringen in Rechner verwenden, hat die Microsoft Corporation die Seite mit dieser Empfehlung im Juni 2004 überarbeitet. Auf derselben Seite wird empfohlen, empfangene E-Mail-Nachrichten nur als einfachen Text anzeigen zu lassen (damit wird auch die Ausführung von in HTML -Nachrichten enthaltenem JavaScript verhindert).
- slr@2004-06-25T22:12:06+02:00
JavaScript ™ kann zu schlechten Testergebnissen führen
Die weiter oben genannte BITV (Verordnung zur Schaffung barrierefreier Informationstechnik nach dem Behindertengleichstellungsgesetz ) wird oft zur Grundlage von Zugänglichkeitstest gemacht, die gelegentlich in der Presse für großes Aufsehen sorgen, wie beispielsweise in der Quelle "http://www.bik-online.info/test/projekte/Weiterbildungsdatenbanken/ergebnisse3.php" oder der Quelle "http://www.biktest.de/main.php?a=p&prid=1" veröffentlicht.
In der ersten Quelle wird etwa bei einer Beschreibung eines Informationsangebots festgestellt „Da bei der Bedienung der Web-Seite kein Javascript erforderlich ist und keine dynamischen Inhalte vorhanden sind, schneidet der Seminarmarkt bei der Betrachtung der 'Bedienbarkeit' im Vergleich gut ab.“ Anbieter, die sicherstellen, daß ihre Seiten ohne JavaScript ™ zugänglich sind, haben bei solchen Untersuchungen also auch bessere Chancen auf gutes Abschneiden.
So ergibt der „Prüfschritt 6. 3. 1 - Auch ohne Skripte nutzbar “ der DIAS GmbH am 2004-06-01 für den Netzdienst "http://www.stern.de/" des Anbieters „Gruner + Jahr AG & Co KG “ den Befund „Keine wesentliche Einschränkung der Nutzung.“ (Quelle "http://www.biktest.de/main.php?a=ps&prid=1&sid=17"), was dann auch dazu beitrug, daß dieser Dienst das beste Testergebnis erhielt und zur DPA-Meldung „« Stern » ist Vorreiter beim barrierefreien Internet “ (Quelle "http://de.news.yahoo.com/040601/3/423tu.html") führte.
JavaScript ™ kann den Rechner vollständig übernehmen
Es ist auch möglich, daß ein Rechner mit Hilfe von JavaScript ™ vollständig übernommen werden kann. Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG schreibt zu diesem Thema am 2004-06-08 „Wer Active Scripting für die Internet-Zone eingeschaltet hat, muß künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren.“
Der Rechner kann nach solch einer Übernahme in beliebiger Weise mißbraucht oder ausspioniert werden. Es ist von den Herstellern von Web-Anzeigeprogrammen in der Regel nicht beabsichtigt, daß JavaScript ™ in dieser Weise verwendet werden soll. Es ist aber trotzdem möglich, indem Sicherheitslücken bestehender JavaScript ™-Ausführer ausgenutzt werden. Durch das vollständige Deaktivieren von JavaScript ™ kann die Gefahr dieses Mißbrauchs von Sicherheitslücken deutlich vermindert werden.
In vielen Fällen werden die hier geschilderten Angriffe durch das Deaktivieren von JavaScript ™ und ähnlichen Funktionen (“Active Scripting ”) ganz unmöglich gemacht.
Es folgen einige Meldungen über Sicherheitslücken oder Störungen, die durch das vollständige Deaktivieren der Interpretation von Skripten (in allen Sicherheitszonen außer der Sicherheitszone „vertrauenswürdige Sites“) ausgeschaltet oder gemindert werden können.
Die Meldungen sind nach ihrer Zeit so sortiert, daß die neuesten Meldungen zuerst aufgeführt sind. Das erste Datum einer Meldung ist das Datum der Meldung, während das zweite angibt, wann die Meldung zu dieser Seite gefügt wurde.
Der Autor dieses Artikels hat regelmäßige Sitzungen eingeplant, um an dieser Stelle auf Berichte über neue Sicherheitsmängel, die mit JavaScript ™ zusammenhängen hinzuweisen. Es erscheinen jedoch so viele neue Berichte, daß diese eingeplante Zeit gar nicht ausreicht, um hier alle aufzunehmen. Daher sollten Leser der folgenden Berichte bedenken, daß diese nur eine kleine Auswahl aller bekannten Sicherheitsmängel darstellen, die durch Deaktivierung von JavaScript ™ bzw. von ActiveScripting vermieden werden können.
- IE-Erweiterung spioniert Homebanking aus
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-07-01T12:37
- heise "48769"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet über eine Sicherheitslücke, die von einem Trojaner ausgenutzt werde, „um gezielt Online-Banking auszuspionieren“. Dabei würden Losungen und anderen Daten erfaßt und verschlüsselt an einen Empfängerdienst weitergeleitet. Die Sicherheitslücke „Installieren und Ausführen von Dateien via mhtml-Redirect“ würde verwendet werden, um diesen Trojaner zu installieren. Auf einer angegebenen Seite mit Sicherheitslücken findet sich dann aber keine Lücke mit dieser Bezeichnung. Von den dort aufgeführten Lücken mit den ähnlichen Bezeichnungen „Laden und Ausführen beliebiger Dateien über mhtml-Redirects “ und „Laden und Ausführen beliebiger Dateien über MHTML-Redirects “ kann eine durch das Deaktivieren von Active Scripting geschlossen werden (um die andere zu schließen muß „Ausführen von ActiveX-Steuerelementen“ deaktiviert werden).
- slr@2004-07-01T14:36:40+02:00
- Sicherheitslücke erlaubt Einschleusen von HTML-Code
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-06-30T11:32
- heise "48725"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet über eine Sicherheitslücke, die es durch „Cross-Domain-Zugriffe“ erlaube, „HTML-Code“ einzuschleusen. Darin wird zur Erklärung des Begriffs „Cross-Domain-Zugriffe“ auf die Seite "http://www.heise.de/security/artikel/38658" verwiesen, in der diese als „Cross-Site- und Cross-Frame-Scripting“ beschrieben werden. Demnach handelt es sich hierbei wieder einmal um Angriffstechniken, die voraussetzen, daß Skripte ausgeführt werden.
- slr@2004-07-01T00:49:09+02:00
- Webseiten können Windows-Zwischenablage auslesen
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2005-08-31T16:52+02:00
- heise "63430"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet daß fremde Webrechner vertrauliche Daten aus der Zwischenablage eines Benutzers auslesen können, wenn eine Webseite im Microsoft ® Internet Explorer angezeigt wird. Dies könne durch das Abschalten der Wahlmöglichkeit "Einfügeoperationen über ein Skript zulassen" verhindert werden. Das deutet darauf hin, daß auch hier wieder Skripte verwendet werden, so daß diese Gefahr von vorneherein nicht bestehen sollte, wenn Skripte grundsätzlich nicht zugelassen werden.
- slr@2005-10-11T16:26:03+02:00
- Computervirus läßt Hacker persönliche Daten stehlen
- DPA (Washington )
- 2004-06-26T16:52+02:00
- http://www.washingtonpost.com/wp-dyn/articles/A6746-2004Jun25.html
- DPA berichtet laut der Urban Media GmbH Hacker in Rußland hätten ein neues Computervirus in Umlauf gebracht, mit dem im Internet benutzte Angaben wie Losungen und Kreditkartennummern geknackt werden könnten. Das berichte die “Washington Post ”. Das Ministerium für Heimatverteidigung der Vereinigten Staaten von Amerika ginge davon aus, daß Hunderte von Web-Seiten angegriffen worden seien. Die Abteilung für Computerüberwachung rate Computer-Nutzern, JavaScript zu deaktivieren, falls es nicht unbedingt benötigt wird.
- slr@2004-06-26T22:11:25+02:00
- What You Should Know About Download.Ject
- Microsoft Corporation
- 2004-06-25T13:30-08:00
- http://www.microsoft.com/security/incident/download_ject.mspx
- Nach verschiedenen Vorfällen im Juni 2004 nimmt die Microsoft Corporation Stellung, stuft die Bedrohung in der Stufe „Rot/kritisch“ ein und empfiehlt zur Abwehr Heimbenutzern, die Deaktivierung von JavaScript ™ für die Internetzone und gewerblichen Anwendern sogar die Deaktivierung von JavaScript ™ für die lokale Rechnerzone.
- slr@2004-06-25T22:32:49+02:00
- Geknackte Webserver verbreiten Trojaner
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-06-25T10:52
- heise "48589"
- In diesem Artikel berichtet der Verlag Heise Zeitschriften Verlag GmbH & Co. KG das US-CERT und das ISC würden „eine erhöhte Zahl von Einbrüchen in Webserver“ melden. Der Verlag schreibt weiter „Die Einbrecher manipulieren die Server derart, daß sie an die ausgelieferten Seiten spezielle JavaScripte anhängen.“ Dadurch würde ein Besucher schon beim Besuch der Seite mit dem Trojaner RAT infiziert, der unter anderem Tastatureingaben mitlese und versendet sowie eine Hintertür öffnen. Der Artikel endet mit dem Hinweis „Anwender können ihren Client durch Deaktivieren von ActiveScripting gegen die aktuellen Angriffe schützen.“
- In einem Nachfolgeartikel (heise "48619") dazu wird vom selben Verlag noch angefügt „In den letzten Tagen wurde offenbar eine beträchtliche Zahl von Web-Servern kompromittiert“. Daß es auch ein Sicherheitsloch gibt, über das Angreifer sich die Rechte der Zone für vertrauenswürdige Sites erschleichen können, sollte dann konsequenterweise auch für diese JavaScript ™ deaktiviert werden. Ein weiterer Nachfolgeartikel zu diesem Vorfall ist heise "48628".
- slr@2004-06-25T13:53:10+02:00
- Siehe dazu auch:
- “IIS 5 Web Server Compromises ” (vorübergehend) in http://www.uscert.gov/current/current_activity.html#iis5
- http://isc.sans.org/diary.php?date=2004-06-24
- IE-Bug gefährdet Surfer
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-06-08T00:07
- heise "48016"
- In dem zweiten Artikel des Verlags Heise Zeitschriften Verlag GmbH & Co. KG zu dem Thema, über das schon ein Artikel am Vortag erschien, heißt es dann: „Wer Active Scripting für die Internet-Zone eingeschaltet hat, muß künftig noch mehr damit rechnen sich ohne Vorwarnung auf Web-Seiten Viren und Trojaner einzufangen. Selbst wer das Surfen auf vermeintlich vertrauenswürdige Sites beschränkt, ist nicht auf der sicheren Seite. Cracker brechen mittlerweile auch vermehrt in fremde Server ein und fügen dort nur wenige Zeilen hinzu, die den Schädling installieren. Anders als prominent plazierte Defacements bleiben solch minimale Änderungen oft längere Zeit unbemerkt.“
- slr@2004-06-08T13:18:29+02:00
- Weitere Schwachstellen im Internet Explorer
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-06-07T11:44
- heise "47993"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung von einer Eigenschaft eines Anzeigeprogramms, mit der es Angreifern möglich sein soll, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Dabei wird JavaScript ™ eingesetzt und davon Gebrauch gemacht, daß für die Zone „Arbeitsplatzrechner“ (Zone 0) oft wenig Einschränkungen gemacht werden.
- Ist die Ausführung von Skripten deaktiviert (hier: auch für die Zone 0 des ausführenden Rechners, die in dem Artikel nicht ganz eindeutig „lokale Zone“ genannt wird, was auch die lokale Intranet-Zone bedeuten könnte), so bleibt der beschriebene Angriff erfolglos und zwar bereits vor dem Aktualisieren eines Systems durch nachträglich bereitgestellte Sicherheits-Nachbesserungen.
- In einem weiteren Artikel (48128) zu diesem Thema wird dann einige Tage später berichtet, daß das FBI gegen Personen ermittele, die diese Lücke bereits ausgenutzt haben sollen, um auf Rechnern Werbeprogramme zu installieren.
- slr@2004-06-07T15:33:59+02:00
- Lücke in MSN-Webseite ermöglichte Ausspähen von Hotmail-Konten
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2005-06-07T10:24
- heise "60340"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung, daß ein Webangebot des Unternehmens Microsoft Corporation geschlossen wurde, nachdem die Möglichkeit bestand, daß ein Angreifer Keksdateien der Besucher auslesen und damit auf deren Netzpost-Nachrichten bei dem Dienst Hotmail zugreifen konnte. Dies werde durch das Einschleusen von Skripten möglich. Demnach sind solche Benutzer der Dienste nicht verwundbar, welche die Ausführung von Skripten deaktiviert haben. In dieser Hinsicht ist es unter dem Aspekt der Sicherheit nicht hilfreich, daß der Microsoft ®-Dienst Hotmail für einige Funktionen voraussetzt, daß die Skriptausführung aktiviert ist, obwohl dies aus technischer Sicht nicht notwendig wäre.
- Der Artikel berichtet auch, daß ein Spezialist innerhalb kürzester Zeit 175 weitere Anbieter mit Verwundbarkeit für solche Querskriptangriffe fand.
- 2005-10-11T18:47:28+02:00
- Sicherheitslücke in Sicherheitsprodukten
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-06-07T13:26
- heise "47998"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung von einem Programm zur Virussuche, das es einem Angreifer erlaube, Skripte mit den Rechten der lokalen Zone auszuführen. Der Hersteller arbeite zum Zeitpunkt des Berichts noch an einer Lösung.
- Ist die Ausführung von Skripten (hier: für die Zone "My Computer") deaktiviert, so bleibt der beschriebene Angriff erfolglos und zwar bereits vor dem Aktualisieren eines Systems durch nachträglich bereitgestellte Sicherheits-Nachbesserungen.
- slr@2004-06-07T14:53:30+02:00
- Surf-Verhalten wird überwacht, zusätzliche Werbung eingeblendet
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-05-19T12:47
- heise "47494"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung von einem Hersteller, der „Software-Trojaner“ in Umlauf bringe, die das Surf-Verhalten des Benutzers überwachten und bei der Anzeige bestimmter Seiten zusätzliche „Popup-Fenster“ und „Popup-Banner“ einblendeten.
- Solche „Popup-Fenster“ und „Popup-Banner“ erscheinen ohne ausdrückliches Öffnen durch den Benutzer nur dann, wenn JavaScript aktiviert ist. Um so häufiger JavaScript deaktiviert wird, um so eher laufen solche Programme ins Leere.
- slr@2004-05-19T16:10:30+02:00
- Angreifer kann Scripting-Code in das System eines Anwenders schleusen
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-05-12T10:27
- heise "47282"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung von einer Sicherheitslücke, mit der ein Angreifer Scripting-Code in das System eines Anwenders schleusen kann und somit letztendlich beliebige Programm einschleusen und ausführen kann.
- Ist die Ausführung von Skripten (hier: für die Zone "My Computer") deaktiviert, so bleibt der beschriebene Angriff erfolglos und zwar bereits vor dem Aktualisieren eines Systems durch nachträglich bereitgestellte Sicherheits-Nachbesserungen.
- slr@2004-05-12T15:17:38+02:00
- VirusScan installiert unsichere ActiveX-Controls
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2004-04-28T11:17
- heise "46923"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung von einer Sicherheitslücke eines Programmes zur Virensuche, mit der Angreifer beliebige Schlüssel aus der Registrierung auslesen können. Dabei würde ein Skript verwendet werden.
- Ist die Ausführung von Skripten deaktiviert, so bleibt der beschriebene Angriff erfolglos.
- slr@2004-05-04T16:29:59+02:00
- Viele Web-Benutzer stellen Skripte vermutlich schon ab
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2005-05-07T18:52
- heise "61499"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung, daß 90 Prozent von befragten Webnutzern angaben, ihr Nutzungsverhalten aus Sicherheitsgründen geändert zu haben. Die befragenden Forscher vermuteten, daß die meisten der Befragten bereits Schadprogramme erlebt hatten. Knapp die Hälfte der Nutzer besuchte „verdächtige“ Webangebote gar nicht mehr. Obwohl der Artikel Skripte nicht ausdrücklich erwähnt, darf angesichts dieser Ergebnisse und der anderen Berichte doch vermutet werden, daß viele Webnutzer bereits durch Skripte geschädigt wurden (da diese oft zum Einschleusen von Schadprogrammen eingesetzt werden) und daß die viele Webnutzer Skripte bereits abgestellt haben oder dazu bereit wären, nachdem ihnen die Zusammenhängen erklärt worden sind.
- slr@2005-10-11T16:33:37+02:00
- Selbst Microsoft ® -Seiten sind nicht immer sicher
- Heise Zeitschriften Verlag GmbH & Co. KG
- 2005-06-03T12:11
- heise "60240"
- Der Verlag Heise Zeitschriften Verlag GmbH & Co. KG berichtet in dieser Meldung, daß ein Webangebot des Unternehmens Microsoft Corporation von Dritten verändert wurde, das dann Besucher schädigen oder ausspionieren sollte. Dabei wurde eine „IFrame-Lücke“ ausgenutzt, die nicht direkt mit Skripten zu tun hat. Der Fall zeigt aber, daß man nicht aus dem Namen oder Betreiber eines Angebots auf dessen Sicherheit schließen kann, so daß es fraglich ist, ob man das Web gefahrlos mit eingeschalteter Skriptausführung sichten kann, wenn man glaubt, daß man „nur sichere Anbieter“ aufsuche. (Es gibt auch noch verschiedene andere Tricks, mit denen ein Webdienst eine andere Identität vortäuschen kann.)
- slr@2005-10-11T18:00:57+02:00
Quellen
- Einführung in den Internet Explorer
- Stefan Ram
- 2004-03-28
- http://www.purl.org/stefan_ram/pub/software_internet-explorer_de
- Auf dieser Seite beschreibt Stefan Ram die Grundlagen der Bedienung des Programms Internet Explorer und behandelt dabei auch die Einstellung der verschiedenen Sicherheitszonen.
- slr@2004-05-03T05:40:55+02:00