java-Script

[Sven Eichler]

Hallöli!

Wenn ich da richtig informiert bin, dann kann Java eine herbe Sicherheitslücke auf einem Rechner im Internet darstellen. (Ist das nicht auch das, wenn ich auf einer Homepage meinen Festplatteninhalt sehe...?)

wie kriege ich raus, was oder ob java-script bei mir aktiv ist? Ich hab diese ganzen Geschichten mit Norton Internet security check und Shields up getestet, aber das hat ja nix mit Java zu tun, oder? Was für Nachteile hab ich denn, wenn ich es deaktiviere?

[TschiTschi]

Java-Script ist kein ernsthaftes Sicherheitsloch. Und das mit dem Inhalt der eigenen Festplatte ist ein blöder Trick. Denn nur DU siehst Deine Festplatte. Und dafür reicht einfaches HTML:

Persönliche Festplatte

Gruß

GG

[Sven Eichler]

*lächz*

*geifer*

WO KANN MAN HTML LERNEN...???

*träum*

*grins*

Kennst Du (sicher doch) einen Virenscanner, der das von mir oben beschriebene kann?

[TschiTschi]

Ich kann Dir keinen Namen nennen - aber alle, die eine "Sandbox" haben!

Ich müsste jetzt auch 'ne Suchmaschine oder einschlägige Artikel bemühen ...

Aber wenn Du was gefunden hast, kannst Du's ja hier posten!

GG

[Sven Eichler]

Werd ich machen! Danke Dir!!! :-)

[Terran Marine]

Original geschrieben von Sven Eichler

wie kriege ich raus, was oder ob java-script bei mir aktiv ist?

Nabend,

im ct-Browsercheck kannst du nachprüfen ob du Javascript aktiviert hast (analog auch ob du JAVA, VBS, ActiveX ... aktiviert hast).

Du wirst du auch noch mal über die Sicherheitsproblematik der einzelnen Techniken informiert.

http://www.heise.de/ct/browsercheck/

Gruss

Terran Marine

[mjölnir]

ist halt irgendwie doof...

wenn du javascript deaktivierst, bist du sich besser gegen die ganzen scripte geschützt, die auf deinem system doch ein paar veränderungen vornehmen können. (IE schriftart ändern, startseite festlegen, ja sogar im startmenü irgendwelche links anlegen; ...jedenfalls ist das bei mir schon vorgekommen)

ob und wie weit die möglichkeiten JScript gehen und in wie fern sie in die Regestrierung eingreifen, daß würd mich noch interressieren.

kann JScript eigentlich auch unter linux irgend nen "scheis" machen?

[DocJunioR]

Also

1. Java = Programmiersprache . Läuft wenn, dann auf dem Server.

2. JavaScript = seitenbeschreibungs/manipulastionssprache.

diese läuft auf dem Client ab.

das heißt, dass alles, was Javascript dir zeigt, du selber (im übertragenden Sinne) fabrizierst.

Als Beispiel: installier ne Firewall und geh auf die Site, die dir deinen Festplatteninhalt zeigt. du kannst es trotzdem noch sehen und das Einzige, dass im Normalfall von der FW augefangen wird, sind Cookies.

Javascript kann deine Festplatte nicht bearbeiten oder so. Es ist ähnlich wie html nur zur Beschreibung von Internetseiten konzipiert. Klar kann man damit blödsinn anstellen. beispielsweise kann man durch endlose Berechnungen deinen Rechner in die Knie zwingen, oder - mein absoluter (nicht-) Liebling: zweitausend Fenster mit zufällig gewählten Seiten zweifelhaften Inhalts öffnen...

cYa

DjR

[FunkyBeat]

Javascript kann sehr wohl auf die Festplatte zugreifen.

Vorraussetzungen dafür sind

Internet Explorer und seine obligatorischen Sicherheitslöcher

ein Javascript das selbige ausnutzt...

Genauso können Java-Programme (Die auch auf dem Client und im Browser laufen können) aus der Sandbox ausbrechen und alles mögliche anrichten, wobei selbiges weitaus schwieriger ist, als ein IE-Loch auszunutzen.

(Die Brown-Office Lücke unter (sehr) alten Netscape 4 versionen war ein Loch in der Java-Sandbox)

[GambaJo]

Tja, wie schon so oft gesagt, wer IE benutzt ist selbst schuld.

[mjölnir]

verwenden aber nun mal die meisten...

mir wärs auch recht, wenns den Konqueror für Windoof gäbe.

[Shadow2k]

Ophera oder Navigator ?

[themaster]

Original geschrieben von DocJunioR

1. Java = Programmiersprache . Läuft wenn, dann auf dem Server.

Noch einen Punkt möchte ich da hinzufügen...

Applets laufen ebenfalls auf dem Client-Rechner.

Aber Sicherheitstechnisch besonders bedenklich sind Applets nicht, da sie in einer Sandbox laufen.

Nur wenn man manuell im sog. "Policy Manager" Rechte freigibt kann ein Applet auch auf die Festplatte.

Java-Anwendungen dürfen "alles". Genau wie jede andere Anwendung auch.

[TschiTschi]

Original geschrieben von Solid-Duke

verwenden aber nun mal die meisten...

Aber es muss ihn niemand verwenden. Es gibt gute (bessere) und sicherere Alternativen: Opera, Mozilla (heute übrigens in der Version 1RC erschienen).

GG

[nic_power]

Original geschrieben von TschiTschi

Aber es muss ihn niemand verwenden. Es gibt gute (bessere) und sicherere Alternativen: Opera, Mozilla (heute übrigens in der Version 1RC erschienen).

GG

So einfach ist das leider nicht. Es gibt immer noch Web-Seiten die sich ausschliesslich mit dem Internet-Explorer betrachten lassen. Der Benutzer wird - sofern er auf den Dienst nicht verzichten moechte - an dieser Stelle gezwungen IE, zu verwenden.

Allerdings kann man im Privatbereich sicherlich verhaeltnismaessig leicht auf Alternativen ausweichen.

In Firmen sieht es da schon ganz anders aus. In praktisch allen Konzernen gibt es klare Vorgaben, welche Software auf den Systemen einzusetzen ist. In den meisten Faellen heisst diese Vorgabe Microsoft und die Software wird genau auf diese Plattform abgestimmt.

Nic

[TschiTschi]

<offtopic>

Original geschrieben von nic_power

Es gibt immer noch Web-Seiten die sich ausschliesslich mit dem Internet-Explorer betrachten lassen.

Die Frage ist, WER sich nach wem richten muss. Eine Seite, die nur mit dem MS IE besucht werden kann besuche ich nicht. Und wenn das noch mehr machen, dann wird sich der Anbieter schon überlegen, ob er seine Seite nicht für andere Browser öffnet.

BTW: Es gibt mindestens EINEN Großkonzern, der den NS Browser als Standard hat - aus Sicherheitsüberlegungen heraus.

Und noch eine Frage: Wenn schon die FACHLEUTE nicht mit gutem Beispiel vorangehen, wer soll's dann machen. Und dann kann man auch was bewegen! Im Auto fährt heute auch niemand mehr ohne Gurt und viele haben einen Airbag.

GG

</offtopic>

[nic_power]

Original geschrieben von TschiTschi

<offtopic>

Die Frage ist, WER sich nach wem richten muss. Eine Seite, die nur mit dem MS IE besucht werden kann besuche ich nicht. Und wenn das noch mehr machen, dann wird sich der Anbieter schon überlegen, ob er seine Seite nicht für andere Browser öffnet.

</offtopic>

Wie bereits oben erwaehnt, im Privatbereich ist das sicherlich der Fall.

Wenn Dein Web-Orientiertes SAP Frontend oder der IP-basierte RAS-Zugang nur mit dem IE zu bedienen sind, duerfte es allerdings schwierig werden einen anderen Browser einzusetzen (insbesonderen dann wenn auf Vorstandsebene entschieden wurde, das MS das Mittel der Wahl ist).

Und noch eine Frage: Wenn schon die FACHLEUTE nicht mit gutem Beispiel vorangehen, wer soll's dann machen. Und dann kann man auch was bewegen!

Dagegen ist auch nichts einzuwenden, in der Praxis werden viele dieser Entscheidungen jedoch auf hoechster Ebene entschieden ("strategische Partnerschaft") und die Basis darf sich dann mit den Konsequenzen rumschlagen. Und wen stoert es schon gross, wenn sich von 50000 Mitarbeitern 100 beschweren?

Nic

PS:

Falls das zu offtopic werden sollte kann man den Thread ja in das entsprechende Forum verschieben.

[millenium]

Selbst die Bundesregierung bevorzugt mittlerweile netscape.

wird wohl seinen Grund haben oder ??

[DerAlex]

Original geschrieben von TschiTschi

<offtopic>

Die Frage ist, WER sich nach wem richten muss. Eine Seite, die nur mit dem MS IE besucht werden kann besuche ich nicht. Und wenn das noch mehr machen, dann wird sich der Anbieter schon überlegen, ob er seine Seite nicht für andere Browser öffnet.

BTW: Es gibt mindestens EINEN Großkonzern, der den NS Browser als Standard hat - aus Sicherheitsüberlegungen heraus.

Und noch eine Frage: Wenn schon die FACHLEUTE nicht mit gutem Beispiel vorangehen, wer soll's dann machen. Und dann kann man auch was bewegen! Im Auto fährt heute auch niemand mehr ohne Gurt und viele haben einen Airbag.

GG

</offtopic>

<offtopic?>

also ich denke auch das der netscape sicherheitstechnisch besser ist, nutze aber selbst den IE 6 weil er bei windows dabei war werde aber auf Opera umsteigen!

das es seiten gibt die nur bei IE gehen finde ich voll dumm! aber die betreiber werden es nicht ändern weil einfach ein zu hoher prozentsatz an usern IE verwendet!

</evt.lerOfftopic>

[FunkyBeat]

Für Webseitenbetreiber, für die die Webseite ein Geschäft ist, ist das doof...

Letzte (persönliche, nicht repräsentative) Statistik auf meiner Seite: 88% IE, der Rest Netscape (50-50 Netscape 4/Netscape6&Moz)

10% Kundenverlust ist schon ziemlich schlecht... und was passiert, wenn AOL auf Mozilla umsteigt?

[lpd]

Original geschrieben von nic_power

So einfach ist das leider nicht. Es gibt immer noch Web-Seiten die sich ausschliesslich mit dem Internet-Explorer betrachten lassen. Der Benutzer wird - sofern er auf den Dienst nicht verzichten moechte - an dieser Stelle gezwungen IE, zu verwenden.

So, nun ein paar Worte von mir dazu :

Der IE ist - je nach Standpunkt - der beste Browser, bzw. der mieseste Browser, den es gibt.

Standpunkt aus Sicht des Anwenders : Der beste Browser, da er nahezu alle Webseiten anzeigen kann, im Gegensatz zu Netscape oder Modzilla.

Standpunkt aus des Entwicklers : Der mieseste Browser, da er nahezu alles interpretiert, ohne sich an HTML- oder JavaScript-Standards zu halten. Im Klartext : Ich kann meine HTML-Seite nahezu beliebig gestalten; mit dem IE lässt sie sich fast immer anzeigen. Allerdings werde ich nie herausbekommen, ob ich mich an den HTML-Standard gehalten habe, wenn ich nicht mit Netcape oder Modzilla teste, denn die legen Wert darauf. Und wenn ich nicht richtig HTML gelernt habe (Ja, es gibt nicht nur die Syntax, sondern auch Reihenfolgen, etc. zu beachten), dann werde ich extreme Schwierigkeiten haben, nach dem Standard zu entwickeln und wahrscheinlich nur schwer herausbekommen, woran es liegt, dass NC oder MZ die Seite nicht korrekt anzeigen.

Eine weitere Sache, die man mal erwähnen muss, ist die Geschichte IE & JavaScript. Fakt ist, der IE benutzt kein Javascript; jedenfalls kein reines. JavaScript ist ursprünglich für Netscape entwickelt worden. Microsoft hat einige Veränderungen / Erweiterungen vorgenommen und dies ebenfalls als JavaScript bezeichnet; eine Klage durch Netscape hatte allerdings zur Folge, dass Microsoft die Bezeichnung nicht verwenden darf. Deswegen heisst es nun "JScript".

Und die größte Sicherheitslücken im IE stellen eben die vielseitigen Interpretationsmöglichkeiten dar, da ich mir kaum Mühe machen muss, mich explizit an Standards zu halten, etc.

Aber andererseits ist das auch gut so. Ich, der gerade HTML & JavaScript lernt, arbeite nur mit Netscape & Modzilla. Wenn der IE das interpretieren kann, ist gut, wenn nicht, ist auch egal. Wenigstens kann ich anschliessend behaupten, dass ich HTML kann - richtig kann - und über mögliche Sicherheitsrisiken beim Einsatz von JavaScript muss ich mir auch wesentlich weniger Gedanken machen.

[exe-tm-]

Original geschrieben von -LWP-

...Ich, der gerade HTML & JavaScript lernt, arbeite nur mit Netscape & Modzilla. Wenn der IE das interpretieren kann, ist gut, wenn nicht, ist auch egal. Wenigstens kann ich anschliessend behaupten, dass ich HTML kann - richtig kann...

Ach wenn es nur mehr Leute wie Dich geben würde. Dann könnt ich auch unter Linux entlich Problemlos surfen ... *seufz*

[mjölnir]

Original geschrieben von exe[tm]

Ach wenn es nur mehr Leute wie Dich geben würde. Dann könnt ich auch unter Linux entlich Problemlos surfen ... *seufz*

meine worte...