|
 JavaScript, Java und
VBScript
Die Begriffe
JavaScript, JScript, VBScript und Java werden häufig verwechselt:
| * |
Java
ist eine mächtige Programmiersprache, die als eine von
vielen Anwendungen die Erstellung von sog. Java-Applets
ermöglicht. Diese werden in eine Webseite eingebunden und
dort ausgeführt. Alle neueren Browser (Netscape,
Opera, Internet Explorer) können Java-Applets ausführen.
Es kann aber jeweils auch deaktivert werden.
Durch einige Fehler in Java-Applets können diese ein
Sicherheitsrisiko darstellen. Auf vertrauenswürdigen
Seiten ist es jedoch eine nützliche Technik (fast alle
Banken arbeiten beim Online-Banking mit Java-Applets). |
| * |
VBScript ist eine Programmiersprache, die (neben
anderen Einsatzgebieten) Webseiten und E-mails interaktiv
machen kann. Da dabei auch Befehle für den schreibenden
Zugriff auf Dateien des Rechners bestehen, ist VBScript
ein Sicherheitsrisiko. Zahlreiche Viren wurden deshalb in
VBScript geschrieben.
VBScript ist eine Microsoft-Entwicklung, die nur der
Internet Explorer und Outlook (Express) beherrschen.
Netscape und Opera beherrschen VBScript nicht! |
| * |
JavaScript klingt zwar vom Namen her ähnlich wie Java,
hat damit aber nichts zu tun. Es handelt sich vielmehr um
eine einfache Programmiersprache, die Webseiten interaktiv
machen kann. Typische Anwendungen sind Rollover-Effekte
(ein Bild auf einer Webseite ändert sein Aussehen beim
Überfahren mit der Maus) oder die Überprüfung von
Formularen, bevor diese abgeschickt werden.
JScript ist die von Microsoft unterstützte Version
von JavaScript, die Befehle kennt, die nur der Internet
Explorer beherrscht. |
Ärgerlichkeiten und
Gefahren
Im Hinblick
auf Datensicherheit ist es sinnvoll, zwischen zwei Aspekten zu
unterscheiden:
| * |
Mit
JavaScript lassen sich allerhand ärgerliche Effekte
programmieren: So sind die zusätzlich aufpoppenden
Werbefenster, mit denen mehr oder weniger seriöse
Anbietern ihre Seiten ausstatten, sicherlich ärgerlich.
Aber es gibt in JavaScript keine Befehle, um Dateien auf
dem PC zu verändern oder zu löschen. Deshalb ist die
Sicherheit Ihrer Daten auf dem PC allein mit mit JavaScript nicht
gefährdet!
Ein Problem kann allerdings (in allen Browsern) das
Zusammenspiel von JavaScript mit Java darstellen. Im
Internet Explorer kommt das Zusammenspiel von JScript mit
Java und vor allem ActiveX hinzu. |
| * |
Eine
Gefahr für die Datensicherheit auf einem PC stellen
VBScript und Java und ActiveX dar, denn mit diesen Programmiersprachen
kann auf das Dateisystem Ihres PCs zugegriffen werden. |
Woher kommt die
Verwirrung?
Wenn
JavaScript selbst zwar Ärgerlichkeiten erzeugen kann, aber keine Gefahr
für die Datensicherheit darstellt, woher kommt dann die häufig
benannte Empfehlung, aus Gründen der Datensicherheit JavaScript
zu deaktivieren?
Alle neueren
Browser (Netscape, Opera, Internet Explorer) beherrschen
JavaScript, und es läßt sich aktivieren und deaktivieren. Im
Internet Explorer gibt es jedoch nur die Möglichkeit die
Einträge für Scripting zu verändern. Damit wird zugleich
JavaScript und das gefährliche VBScript aktiviert bzw.
deaktivert. Aktiviertes Scripting im Internet Explorer bedeutet
deshalb aktivierte Gefahr für die Datensicherheit: Nicht weil
JavaScript gefährlich wäre, sondern weil damit zugleich VBScript
eingeschaltet wird.
Zugleich
können mit JavaScript in allen neueren Browsern Java-Applets
angesprochen werden, die eine Sicherheitsrisiko darstellen
können. Im Internet Explorer kann über JScript auch auf ActiveX
zugegriffen werden, was ein deutliches Sicherheitsrisiko
darstellt. Wie der nachfolgende Kasten zeigt, ist das Problem
dabei jedoch nicht JavaScript, sondern ActiveX (und
eingeschränkt auch Java). |
Sonderfall JScript , Java und ActivX
JavaScript firmiert bei Microsoft unter dem Namen JScript.
In JScript gibt es einige Befehle, die im Prinzip ein
Sicherheitrisiko darstellen können, da diese auf ein ActivX-
Control im Internet Explorer zugreifen können, wenn ActivX
aktiviert ist. Aber auch hier ist in Wirklichkeit die Gefahr
nicht JScript, sondern ActivX, das von JScript nur
aufgerufen wird.
Ähnliches gilt für JavaScript/JScript und Java: Ist Java
aktiviert, kann mit JavaScript auf ein Java-Applet
zugegriffen werden, das Schaden anrichten kann. Für Netscape
/ Mozilla und Opera gilt deshalb, daß bei deaktiviertem Java
folgerichtig JavaScript zwar zu Ärgerlichkeiten führen kann,
aber die Datensicherheit auf dem PC nicht gefährdet.
Anders sieht die Situation im Internet Explorer aus. Auf den
ersten Blick könnte man meinen, daß bei deaktiviertem Java
und ActiveX hier JScript ebenfalls keinen Schaden anrichten
kann. Dies ist zunächst falsch, weil mit dem Aktivieren von
Scripting im Internet Explorer zugleich auch VBScript
aktiviert wird. Es gibt aber noch einen weiteren Grund: |
Problemfall Zone 0
Leider gilt
im Fall des Internet Explorers, daß das Deaktivieren von ActiveX
(und auch Java) keine völlige Ausschaltung des Risikos bewirkt.
Die wenig bekannte Ursache hierfür ergibt sich aus dem Konzept
der Sicherheitszonen im Internet Explorer:
Die vier
Zonen im Internet Explorer
unter Extras / Internetoptionen / Sicherheit
Einstellbar
sind im Internet Explorer vier Zonen für das Internet, das
Intranet, vertrauenswürdige und eingeschränkte Seiten. In
Wirklichkeit gibt es jedoch noch eine 'nullte' Zone (genannt
My Computer), die alle
lokal gespeicherten Dateien betrifft. Über diese Zone 0 heißt es
in einem Hilfetext es Internet Explorers:
Damit ergeben
sich zwei drastische Probleme mit dem Internet Explorer:
| * |
Bei
deaktiviertem Scripting für die Internetzone werden VB-
oder JavaScripts (JScripts) beim Betrachten einer Seite
aus dem Internet nicht ausgeführt. Das lokale Abspeichern
dieser Seite und erneute Aufrufen von der Festplatte setzt
diese Sicherheitseinstellung jedoch außer Kraft, da die
Datei dann von Zone 0 (dem eigenen Computer) geladen wird!
Besonders problematisch ist hier der Browser von T-Online,
der intern ein Internet Explorer ist, aber neben einem
anderen Aussehen auch ein komfortables Seitenarchiv
besitzt, das zum lokalen Abspeichern von Webseiten
einlädt. |
| * |
Eine
zweite Sicherheitslücke ergibt sich aus der Zone 0, da
lokal gespeicherte Plug-Ins, ActiveX-Controls und noch
weitere lokal installierte Softwarekomponenten aufgrund
der lokalen Abspeicherung als sicher eingestuft werden.
Die bedeutet, daß auch dann, wenn im Internet Explorer
ActiveX für alle vier Zonen deaktiviert ist, auf lokal
gespeicherte ActiveX-Controls und andere sog. COM-Objekte
mit JScript bzw. VBScript zugegriffen werden kann. Lücken
in dieser so aufgerufenen Software können zu drastischen
Sicherheitslücken führen. |
Sicheres Surfen
Als einfache
Regel für sicheres Surfen gilt deshalb: Im Internet Explorer
sollten Sie beim wilden Drauflossurfen Scripting
deaktivieren, um VBScript außer Kraft zu setzen und den Aufruf
von ActiveX- und COM-Objekten zu unterbinden. Natürlich sollte
auch ActiveX im Normalfall deaktiviert sein.
Bei Opera und
Netscape stellt das Aktivieren von JavaScript kein
Sicherheitsproblem dar. In allen Browsern sollte jedoch Java für wilde
Surftouren deaktiviert sein. |
