[HaBo]

odigo · 29.03.08, 00:34

Hallo Leute,

ich hätte eine Frage bzw. ein Diskussion die durch den ersten Post von Harry Boeck in dem Thread ausgelöst wurde (Sorry, ich weiß gerade nicht wie ich einen Post direkt verlinke).
Was ist denn bitte an JavaScript so gefährlich? Was ist der worst case der mir passieren kann? Ist das nur wieder dummes Geschwätz von Menschen die mal gehört haben, daß JavaScript wirklich gefährlich seien soll? Ich bin leider in JavaScript nicht so fit.
Übrigens, eine Endlosschleife mit Popupfenstern ist nervig, aber nicht gefährlich.

Gruß odigo

LX · 29.03.08, 01:31

Dazu ist der Wikipedia-Artikel eigentlich recht informativ. Wirklich sicherheitskritische Sachen können mit JavaScript eigentlich insofern nicht passieren, als kein Zugriff auf Dateisystem oder andere Programme erfolgen kann (mal von ActiveScripting im IE oder eher unwahrscheinlichen Angriffsszenarien abgesehen). Schlimmstenfalls könnte dir jemand also ein XSS unterjubeln oder sowas machen wie Tastatureingaben auf einer Webseite loggen oder Formulare unwillentlich absenden. Letztendlich muss der Anwender ja aber auch selber wissen, auf welchen Seiten er sich rumtreibt. Wer nur Nachrichten liest und sein Webmail bedient, der stellt sich durch deaktiviertes JavaScript eher selbst ein Bein als dass er sich einen Gefallen tut.

Aus Sicherheitsaspekten finde ich Deaktivieren von JavaScript also höchst fragwürdig. Dass man damit natürlich viele Sachen anstellen kann, die hochgradig nervig sind, darüber muss man nicht diskutieren. Ebenso lassen sich Webseiten mit JavaScript aber auch weitaus bedienfreundlicher machen. Meine persönliche Maxime ist aber, dass JS für Webseiten grundsätzlich nur ein Plus sein sollte, keine Voraussetzung. Letzteres finde ich nur für Administrationsbereiche sinnvoll, bei denen man mit authentifizierten Nutzern zu tun hat. Ein CMS beispielsweise ohne JavaScript im Redaktionsbereich... das will ich weder als Anwender noch als Programmierer.

Dass man für sowas schnödes wie eine Umfrage nun eigentlich kein JavaScript braucht, da stimme ich HB aber zu

Anzeige

- Anzeige -

**lightsaver** · 29.03.08, 14:49

naja, unter http://www.brain.uni-freiburg.de/~klaus/java.htm ist aber auch noch eine schöne zusammenstellung mit problemen bezüglich js (unter anderem). und ganz so unkritisch sehe ich das da nicht (beispiele: phishing, einschleusen von trojaner ...)
meist scheint dies zwar an einer fehlerhaften implementierung der browserhersteller zu liegen so wie ich das beim überfliegen des artikels verstanden habe, aber letztendlich kann dem anwender ja egal sein, wessen fehler es nun ist.

Harry Boeck · 30.03.08, 01:43

Die Behauptung, Javascript wäre durch Ausführung in einer Sandbox grundsätzlich sicher, ist zwar das Ziel des Designs, trifft aber nicht zu. Immer wieder werden Sicherheitslücken bekannt, die auf der Ausnutzung von Javascript beruhen.

Ich empfehle hier dringend, zwischen dem Ziel und dem Fakt, daß es bisher NOCH NIE tatsächlich erreicht wurde (übrigens nicht nur für Javascript, sondern für jede Art von Software), zu unterscheiden.

Und ich empfehle (und setze es bei mir durch - unabhängig davon, wie bereitwillig sich andere Leute ausliefern) stets ZWEI unabhängige Layer von SIcherheit hintereinander zu haben. Auf einem Firefox- oder Opera-Browser sind das halt:
1. aktuelle Browserversion
2. Javascript standardmäßig verboten

So konnten mich bisher die Problemmeldungen im Heise-Newsticker auch stets kalt lassen: Wo Schlammschlachten über die angebliche Anfälligkeit der Firefox ausgetragen werden, kann ich mich auf die zweite Verteidigungslinie "NoScript" verlassen. Außerdem habe ich global noch eine dritte im System namens "Dateizugriffsrechte und Benutzerkonten".

Dadurch kann ich es mir ohne weiteres leisten, Server zu besuchen, die von Schadsoftware bis zum Stehkragen unterlaufen sind, um einfach mal einen eigenen Eindruck von der Lage zu bekommen.

Javascript kann gegenüber unbedachten Anwendern (Leuten, die auf alles bzw. bei Meldungen grundsätzlich auf den nächstliegenden OK-Button klicken - also 99% aller Menschen) auch ohne jede Sicherheitslücke durch reines social engineering zur Schädigung ausgenutzt werden.

OK - letztlich kann bei jenen Leuten ALLES durch social engineering ausgenutzt werden. Da braucht es kein Javascript mehr. Aber dazwischen gibt es eine Grauzone, in der auch bewußt surfende Leute mal unaufmerksam sind oder man halt über Exploits stolpert, die noch nicht bekannt geworden sind (irgendwelche Leute MUSS es zwangsläufig immer erstmal erwischen...).

All das kann einem mit mindestens zwei hintereinander geschalteten wirksamen Sicherheitslayern kalt lassen.

Zur Übersicht für den Firefox einfach mal hier schauen:
http://www.heise.de/security/suche/?...chen&rm=search

Anzeige

- Anzeige -

29.03.08, 00:34	#1 (permalink)
odigo Senior Member Registriert seit: 25.12.04 Likes: 54	JavaScript ein Sicherheitsrisiko? Anzeige Hallo Leute, ich hätte eine Frage bzw. ein Diskussion die durch den ersten Post von Harry Boeck in dem Thread ausgelöst wurde (Sorry, ich weiß gerade nicht wie ich einen Post direkt verlinke). Was ist denn bitte an JavaScript so gefährlich? Was ist der worst case der mir passieren kann? Ist das nur wieder dummes Geschwätz von Menschen die mal gehört haben, daß JavaScript wirklich gefährlich seien soll? Ich bin leider in JavaScript nicht so fit. Übrigens, eine Endlosschleife mit Popupfenstern ist nervig, aber nicht gefährlich. Gruß odigo __________________ [HaBo] @ Facebook - Gefällt mir!

29.03.08, 01:31	#2 (permalink)
LX Moderator Registriert seit: 14.02.06 Likes: 21	Dazu ist der Wikipedia-Artikel eigentlich recht informativ. Wirklich sicherheitskritische Sachen können mit JavaScript eigentlich insofern nicht passieren, als kein Zugriff auf Dateisystem oder andere Programme erfolgen kann (mal von ActiveScripting im IE oder eher unwahrscheinlichen Angriffsszenarien abgesehen). Schlimmstenfalls könnte dir jemand also ein XSS unterjubeln oder sowas machen wie Tastatureingaben auf einer Webseite loggen oder Formulare unwillentlich absenden. Letztendlich muss der Anwender ja aber auch selber wissen, auf welchen Seiten er sich rumtreibt. Wer nur Nachrichten liest und sein Webmail bedient, der stellt sich durch deaktiviertes JavaScript eher selbst ein Bein als dass er sich einen Gefallen tut. Aus Sicherheitsaspekten finde ich Deaktivieren von JavaScript also höchst fragwürdig. Dass man damit natürlich viele Sachen anstellen kann, die hochgradig nervig sind, darüber muss man nicht diskutieren. Ebenso lassen sich Webseiten mit JavaScript aber auch weitaus bedienfreundlicher machen. Meine persönliche Maxime ist aber, dass JS für Webseiten grundsätzlich nur ein Plus sein sollte, keine Voraussetzung. Letzteres finde ich nur für Administrationsbereiche sinnvoll, bei denen man mit authentifizierten Nutzern zu tun hat. Ein CMS beispielsweise ohne JavaScript im Redaktionsbereich... das will ich weder als Anwender noch als Programmierer. Dass man für sowas schnödes wie eine Umfrage nun eigentlich kein JavaScript braucht, da stimme ich HB aber zu __________________ "Ever tried. Ever failed. No matter. Try again. Fail again. Fail better." - Samuel Beckett JS BB LX UP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Auslagerungsdatei=Sicherheitsrisiko?	n8m	(In)security allgemein	2	03.09.04 19:42
JavaScript	Chris	Programmiersprachen	0	17.12.02 18:59
[chip.de] Raw-Sockets: Sicherheitsrisiko?	RandZ	(In)security allgemein	3	10.09.02 19:16
Sicherheitsrisiko beim "zurück" Knopf im Internet Explorer	Tec	News & Ankündigungen	0	17.04.02 16:32
Sicherheitsrisiko IE 5.5 / 6	XLoGiC	(In)security allgemein	5	09.01.02 19:47

29.03.08, 14:49	#3 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	naja, unter http://www.brain.uni-freiburg.de/~klaus/java.htm ist aber auch noch eine schöne zusammenstellung mit problemen bezüglich js (unter anderem). und ganz so unkritisch sehe ich das da nicht (beispiele: phishing, einschleusen von trojaner ...) meist scheint dies zwar an einer fehlerhaften implementierung der browserhersteller zu liegen so wie ich das beim überfliegen des artikels verstanden habe, aber letztendlich kann dem anwender ja egal sein, wessen fehler es nun ist.

30.03.08, 01:43	#4 (permalink)
Harry Boeck Registriert seit: 17.02.06 Likes: 0	Die Behauptung, Javascript wäre durch Ausführung in einer Sandbox grundsätzlich sicher, ist zwar das Ziel des Designs, trifft aber nicht zu. Immer wieder werden Sicherheitslücken bekannt, die auf der Ausnutzung von Javascript beruhen. Ich empfehle hier dringend, zwischen dem Ziel und dem Fakt, daß es bisher NOCH NIE tatsächlich erreicht wurde (übrigens nicht nur für Javascript, sondern für jede Art von Software), zu unterscheiden. Und ich empfehle (und setze es bei mir durch - unabhängig davon, wie bereitwillig sich andere Leute ausliefern) stets ZWEI unabhängige Layer von SIcherheit hintereinander zu haben. Auf einem Firefox- oder Opera-Browser sind das halt: 1. aktuelle Browserversion 2. Javascript standardmäßig verboten So konnten mich bisher die Problemmeldungen im Heise-Newsticker auch stets kalt lassen: Wo Schlammschlachten über die angebliche Anfälligkeit der Firefox ausgetragen werden, kann ich mich auf die zweite Verteidigungslinie "NoScript" verlassen. Außerdem habe ich global noch eine dritte im System namens "Dateizugriffsrechte und Benutzerkonten". Dadurch kann ich es mir ohne weiteres leisten, Server zu besuchen, die von Schadsoftware bis zum Stehkragen unterlaufen sind, um einfach mal einen eigenen Eindruck von der Lage zu bekommen. Javascript kann gegenüber unbedachten Anwendern (Leuten, die auf alles bzw. bei Meldungen grundsätzlich auf den nächstliegenden OK-Button klicken - also 99% aller Menschen) auch ohne jede Sicherheitslücke durch reines social engineering zur Schädigung ausgenutzt werden. OK - letztlich kann bei jenen Leuten ALLES durch social engineering ausgenutzt werden. Da braucht es kein Javascript mehr. Aber dazwischen gibt es eine Grauzone, in der auch bewußt surfende Leute mal unaufmerksam sind oder man halt über Exploits stolpert, die noch nicht bekannt geworden sind (irgendwelche Leute MUSS es zwangsläufig immer erstmal erwischen...). All das kann einem mit mindestens zwei hintereinander geschalteten wirksamen Sicherheitslayern kalt lassen. Zur Übersicht für den Firefox einfach mal hier schauen: http://www.heise.de/security/suche/?...chen&rm=search

[HaBo]

JavaScript ein Sicherheitsrisiko?