Java Reference
In-Depth Information
vial und der typische Anwender wird gar nicht wissen, wie das funktioniert. Aber signierte
Skripte gehören wie die Beschränkungen von Skripten in ihrer Funktionalität zu einem
Sicherheitsmodell, das über die eingeschränkten Möglichkeiten der Sprache hinaus in den
gängigen Browsern (allerdings unterschiedlich) implementiert wurde. Wie erwähnt gestat-
ten alle modernen Browser neben sehr weitgehenden und meist versteckten Einstellungen
dem Anwender in den leicht zugänglichen visuellen Einstellungsfenstern eine gewisse Kon-
trolle über das Verhalten des Browsers.
Diese Sicherheitseinstellungen betrefen auch Datenschutz und die allgemeine Sicherheit.
Die genauen Einstellungsmöglichkeiten sind natürlich je nach Browser und Sicherheits-
modell unterschiedlich, lassen aber beispielsweise JavaScript daher auch nur wenige schäd-
liche Möglichkeiten, sofern der Anwender nicht bewusst die Sicherheitseinstellungen
schwächt oder ausschaltet.
JavaScript als falsche Technik
Angenommen, Sie wollten Besucher einer Webseite attackieren. Dann ist JavaScript meines
Erachtens nicht nur wegen der geringen Leistungsfähigkeit und der in Klartext jederzeit
lesbaren und damit erkennbaren Form der Attacke eine sehr schlechte Wahl. Denn wie
bringen Sie das subversive Skript an die Leute? Sie müssen ein JavaScript in eine Webseite
integrieren und wie anonym sind Sie dann, wenn ein geschädigter Besucher Ihnen an den
Kragen will? Sie müssen auf Ihren Webseiten ja Ihre vollständige Adresse hinterlassen oder
zumindest ist diese problemlos zu ermitteln. Es ist also wenig sinnvoll, eine Attacke mit
ofenem Visier zu reiten.
Sie müssen also für eine schädliche Aktion mit JavaScript auf jeden Fall Ihr gesamtes Web-
projekt respektive Ihre Identität verschleiern und damit den Aufwand betreiben, eine Web-
präsenz unter einer anonymen Adresse (möglichst im nicht so streng kontrollierenden Aus-
land) zu betreiben. Aber wenn Sie schon diesen Aufwand in Kauf nehmen, warum sollten
Sie dann die Attacke mit den schwächsten denkbaren Wafen starten? Warum sollte ich bei
dem großen Aufwand für die Verschleierung meiner Identität und den Aufbau einer halb-
wegs vertrauenswürdigen Webseite für Anwender dann mit einer dafür im Grunde vollkom-
men ungeeigneten Technologie wie JavaScript eine Attacke programmieren, wenn es dafür
viel besser geeignete Technologien gibt? Mit diesen kann man viel schlimmere Dinge
anstellen und es geht dazu noch viel einfacher und schneller. Oder um es juristisch auszu-
drücken - mir fehlt das Motiv, warum ich eine Attacke mit JavaScript programmieren sollte.
Was geht wirklich mit JavaScript?
Dennoch bleibt auch bei JavaScript natürlich ein Restrisiko. Trotz der eingeschränkten Mög-
lichkeiten von JavaScript und den implementierten Sicherheitsregeln der Browser sind über
die Zeit im Umgang mit aktiven Inhalten per JavaScript einige sicherheitsrelevante Schwach-
stellen bekannt geworden, die einen Anwender auf die eine oder andere Weise schädigen
können. Sehr einfach umzusetzen sind Skripte, die einfach nur den Betrieb des lokalen
Rechners blockieren. Und natürlich kann ein Programmierer Fehler im Skript machen, die
sich zur Laufzeit auswirken und damit gewisse Verhaltensweisen auf dem Anwenderrech-
ner erzeugen, die nicht gewünscht sind (Blockade des Browsers bis hin zum Absturz). Be-
trachten Sie nur den folgenden Einzeiler:
Search WWH ::
Custom Search