Java Reference
In-Depth Information
Listing 11.1■
Browserfenster in einer Endlosschleife öfnen
while(true) open();
In einer Endlosschleife werden permanent Browserfenster bzw. Tabs geöfnet und damit
wird der Browser bis eventuell sogar der ganze Rechner blockiert. So etwas und vergleich-
bare Maßnahmen sind zwar für einen Anwender ärgerlich, aber keine wirklich kritischen
Probleme.
Auch können Sie im Code mit unsichtbaren Elementen wie nichtsichtbaren Frames, IFrames
oder versteckten Formularfeldern arbeiten und damit Daten auf den Rechner eines Besu-
chers befördern. Aber dann haben Sie da immer noch mit den Beschränkungen von
JavaScript zu kämpfen, wenn Sie nicht andere Schädlinge einschmuggeln.
Kritisch hingegen sind in der Tat Möglichkeiten, unter Verwendung clientseitiger Technolo-
gien Trojaner und ähnliche Dinge auf einem Clientrechner zu schmuggeln. Allerdings sind
die Möglichkeiten von JavaScript auch hier extrem begrenzt und es bieten sich im Grunde
viele andere Techniken an, mit denen man so etwas viel „komfortabler“ machen kann. Auch
benötigt man zu solchen Attacken in der Regel eine Verbindung zu weiteren Techniken wie
ActiveX-Controls. Und hier ist nur der Internet Explorer anfällig.
Das Hauptrisiko im Zusammenhang mit JavaScript ist dabei auch nicht die Sprache, son-
dern neben dem Anwender der Browser bzw. dessen JavaScript-Engines. Wurde hier fehler-
hat programmiert, entstehen möglicherweise echte Sicherheitslücken. Allerdings gibt es
JavaScript mittlerweile so lange auf dem Markt und die JavaScript-Interpreter in modernen
Browsern sind zig-fach getestet und in der Praxis bewährt, dass nutzbare Lücken selten
autreten und - wenn erkannt - meist schnell behoben werden. Es liegt aber in der Verant-
wortung des Anwenders seinen Browser auf einem aktuellen Stand zu halten. Wer heute
noch mit einem alten Browser wie dem Internet Explorer 8 arbeitet, ist einfach nur leicht-
sinnig. Ein Antivirenprogramm wird ja auch regelmäßig aktualisiert, um gegen neue Viren
gewappnet zu sein
Ot wird im Zusammenhang mit JavaScript-Risiken die Möglichkeit genannt, dass man
damit Anwender täuschen kann. Etwa durch die Simulation von vertrauenswürdigen Web-
seiten über die Manipulation der Adresszeile oder Statuszeile des Browsers, das Verschlei-
ern von Adressen, das Verschleiern von Code. Dies erfolgt zum Beispiel, indem das Ausse-
hen des Browsers manipuliert wird und Fenster erzeugt werden, die scheinbar zu anderen
Anwendungen gehören (falsche Informationen anzeigen, Eingaben in Formulare abfan-
gen - dies ist Teil dessen, was unter
Social Engineering
bekannt ist).
Diese Gelegenheiten bestehen unzweifelhat. Aber zum einen gibt es in neuen Browsern
gegen solche Täuschungsversuche Schutzmaßnahmen und auch E-Mails können ab und zu
unseriös sein ;-). Und eine Webseite mit reinem HTML kann natürlich ebenso Falschinfor-
mationen enthalten. Es ist meines Erachtens kein Sicherheitsproblem von JavaScript, dass
man damit täuschen und verschleiern kann, sondern das Problem, dass unerfahrene,
unmündige, leichtsinnige oder uninteressierte Anwender im Internet unterwegs sind und
immer wieder viele neue Anwender hinzukommen, denen die möglichen Probleme gar
nicht bewusst sein können.
Ein echtes Problem ist jedoch das sogenannte
Cross-Site Scripting
oder kurz
XSS
, das eng
mit dem Thema Täuschung verbunden ist. Dabei implementiert man zum Beispiel in eine
bestehende Webseite (entweder über ein Webformular oder die Adresszeile des Browsers)
Search WWH ::
Custom Search