Java ist eine plattformunabhängige Programmiersprache der Firma Sun. Besuchen Sie eine Homepage, welche mit Java arbeitet, wird ein Java-Applet auf Ihren Rechner geladen und in einer sog. Sandbox der Java Virtual Machine ausgeführt. D.h. das Java-Programm läuft in einer eigenen, in sich geschlossenen, Umgebung ab. Eigentlich eine sichere Sache aber durch immer wieder bekannte Sicherheitslücken ist es mit , eigens dafür programmierten, Java-Applets gelungen die Sandbox zu durchdringen und lokale Daten auszulesen.
Unsere Empfehlung: Verzichten Sie auf Java, auch wenn Sie dadurch auf Laufbänder, dreidimensionale Dartellungen oder interaktive, dynamische Inhalte verzichten müssen. Muss es unbedingt Java sein, empfehlen wir unbedingt die Java Virtual Machine von Sun, anstatt die, mit dem Windows-Betriebssystem (vor WinXP SP1a) ausgelieferten, von Microsoft. Auch wenn die Sun-Version immer wieder Sicherheitslücken aufweist, so wird sie wenigstens weiterhin “gebugfixt”, während die MS-VM aus dem Support gefallen ist. Sie erhalten die aktuelle Sun-Version hier:
JavaScript (oder JScript)
Hat mit dem o.g. Java nichts zu tun und ist eine eigene Scriptsprache (auch ECMAScript unter ECMA-Standard 262 genannt), entwickelt von Netscape (JavaScript) und Microsoft (JScript). Die einzige Gemeinsamkeit liegt darin, daß wie bei Java das JavaScript auf dem Client ausgeführt wird. Der grosse Unterschied ist die fehlende Sandbox ! Im Zusammenhang mit aufgedeckten Sicherheitslücken im Web-Browsern ist meistens JavaScript die Plattform, die es erst ermöglicht diese Sicherheitslöcher auszunutzen. Oder auch “blöde” Spielereien, wie zigfach aufgehende Browserfenster (beim Schließen des Browsers) oder das Auslesen Ihrer Historydaten werden so realisiert.
Viel schlimmer dagegen ist der anhaltende Trend, Websites (über serverseitige Sicherheitslecks) zu hacken, um schädlichen Code (z.B. Keylogger) zu plazieren, der dann z.B. über “harmlosen” JavaScript die Computer der Besucher erreicht (einmal installiert, lädt dieser in den meisten Fällen weiteren (Schad)Code aus dem Internet nach.
Der Webseiten-Betreiber selbst hat i.d.R. keine Kennntis von der Infiltrierung seiner Website (es sei denn, es handelt sich um einen Kriminellen), überprüft er seine Webseiten nicht regelmässig auf Schadcode und Sicherheitslücken. D.h. selbst vertrauenswürdige Webadressen können können so zur Virenschleuder werden.
Unsere Empfehlung: Verzichten Sie auf JavaScript (JScript), auch wenn Sie dadurch auf die Vielfältigkeit einer Website verzichten müssen. Ausnahmen sollten nur bei vertrauenswürdigen Webseitenbetreibern zugelassen sein. Hier bietet sich für den Mozilla-Firefox z.B. das AddOn "NoScript" an. Sehen Sie auch die Zusammenfassung unten.
Sind sog. Steuerelemente, die als alternative Technologie zu Java-Applets von Microsoft entwickelt wurden. Wie bei JavaScript und Java wird ActiveX auf dem Client ausgeführt. Z.B. sind sie dafür verantwortlich, daß Mediadateien über einen installierten Player direkt im Browserfenster abgespielt werden können. ActiveX-Controls können jedoch auch auf beliebige Quellen des Betriebssystems zugreifen und somit auch nicht überschaubaren Schaden anrichten. Wir verwenden kein ActiveX auf unserer Website.
Unsere Empfehlung: Verzichten Sie grundsätzlich und ohne Ausnahme auf ActiveX-Controls jeglicher Art (signierte und unsignierte), da die Missbrauchsmöglichkeiten einfach zu großen Umfang haben.
VBS (Visual Basic Script)
Eine microsoft-proprietäre Sprache für Verarbeitungen in der Makrosprache von Microsoft-Office (VBA, Visual Basic Applications), wird nur vom Internet-Explorer (ab Version 4) verstanden und funktioniert auch nur im Zusammenhang mit Aktivierung von JScript (Active Scripting). Wird im Web kaum verwendet, jedoch sind in vielen Würmern und Viren VBS-Codes eingebettet.
Unsere Empfehlung: Verzichten Sie auf VBS und haben Ruhe vor schädlichen VBS-Codes. Arbeiten Sie nicht mit Office-Makros (ohnehin nicht zu empfehlen), deinstallieren Sie am besten gleich den “Windows Scripting Host” und aktivieren im Office den Makro-Virenschutz. Vorsicht auch bei E-Mails mit HTML-Format: Hier kann VBS-Code eingebettet sein !
Ist eine Mischung oder Kombination aus einem Grafik- und Animationsprogramm von Macromedia zur Gestaltung von interaktiven Elementen oder kleinen Filmen auf Webseiten. Man benötigt zum Abspielen ein entsprechendes Plugin. Oft verärgern lange Flash-Intros bzw. generell in Flash programmierte Seiten den Besucher einer Homepage eher als dass sie ihn unterhalten oder sperren ihn ganz aus, weil ActiveX-Controls aus Sicherheitsgründen (MS-IE) nicht erlaubt sind, das Macromedia-Plugin nicht installiert oder der Browser gar inkompatibel ist.
Unsere Empfehlung: Da Flash beim MS-IE nur im Zusammenhang mit der Annahme von ActiveX-Steuerelementen (siehe oben) - und wir vor deren Aktivierung abraten - bzw. generell (auch bei anderen Browsern) nur mit entsprechendem Plugin - immer wieder werden hierzu Sicherheitslücken bekannt - funktioniert, hat sich das Thema von selbst erledigt. So lange von seiten Macromedia und Microsoft keine eigene Sicherheitseinstellungs-Möglichkeit geschaffen wird, raten wir auch unseren Webhosting-Kunden von der Programmierung flash-animierter Seiten ab.
Unsere Empfehlung:Auch zu Silverlight sind die ersten Anfälligkeiten bekannt geworden (z.B. Clickjacking), weshalb auch hier die Verwendung auf ein sicheres Umfeld beschränkt sein bzw. nur bei absolut vertrauenswürdiger Quelle zum Einsatz kommen sollte.
Um grösstmögliche Sicherheit zu gewährleisten, empfehlen wir oben genannte Punkte. Sollte eine Website eben nur mit Java, ActiveX, JavaScript und/oder Flash funktionieren, muss man abwägen, ob man zugunsten der Sicherheit ganz auf den Besuch verzichtet bzw. Einschränkungen akzeptiert, oder das damit verbundene Risiko in Kauf nimmt.
Verwenden Sie den Internet-Explorer, empfehlen wir das konsequente Arbeiten mit den einzelnen Sicherheitszonen. So können Sie Websiten mit individuellen, vorbestimmten Sicherheitseinstellungen laden. Zum alternativen Webbrowser Mozilla-Firefox empfehlen wir die Verwendung des äquivalenten AddOns “NoScript”.
Lösungsmöglichkeiten für Webseitenbetreiber/Webmaster
Quasi das Gegenstück zu den auf Plugins basierten Scriptsprachen ist - ebenso plattformunabhängig - PHP (Professional Hypertext Preprocessor), Perl und Python; hier läuft, im Gegensatz zu z.B. Java und Co., das Programm nicht auf dem Client, sondern auf dem Webserver ab. Unsere Formulare (z.B. Kontaktformulare) sind alle in PHP geschrieben, damit diese auch bei härtesten Sicherheitseinstellungen des Browsers noch funktionieren und unsere Kunden nicht gezwungen sind, ihre Einstellungen aufzuweichen.
Fazit: Auf Webseiten, die lediglich aus ein paar Bildern und Text bestehen, ist es absolut NICHT notwendig JavaScript oder Flash einzusetzen (leider sieht das in der Praxis anders aus); hier genügt schlichter HTML-Code! Selbst bei interaktiven Webseiten sollte man darauf verzichten und wenn möglich PHP (Professional Hypertext Preprocessor) zum Einsatz bringen. JavaScript & Co. macht nur an Stellen Sinn, wo eine Animation oder interaktive Berechnung erfolgen soll. Die Grundelemente einer Website (z.B. Navigation, Texte, Bilder etc.) dürfen jedoch NICHT von aktivierten Plugins abhängen!
Wir haben jedoch den Verdacht, dass aufgrund der Verbreitung von Authoring-Tools (z.B. Adobe Dreamweaver) und Code-Generatoren (z.B. Adobe GoLive) die nötigen Programmierkenntnisse in den Hintergrund getreten bzw. erst gar nicht mehr vorhanden sind. Dies ist vor allem vielen kommerziellen “Webseitenentwicklern” vorzuwerfen, die ihre Kunden aufgrund von Unkenntnis falsch beraten, weil sie eben nur einen Generator bedienen können aber von HTML & Co. keinen blassen Schimmer haben, geschweige denn wissen, was ihr verwendetes Authoring-Tool eigentlich macht/generiert (denn dann wäre die Verwendung ja OK). Anders sind die vielen unsinnig eingesetzten JavaScript- und Flashseiten nicht zu erklären, die zudem eine Vielzahl sicherheitsbewusster Surfer unnötigerweise aussperren (weisse Seite bei deaktivierten Plugins - wir verzichten dann in den meisten Fällen auf den weiteren Besuch).
Private Webmaster, die ihre Website selbst stricken, kommen leider auch nicht umhin, sich mit der Materie intensiv auseinanderzusetzen, ansonsten droht u.U. massives Ungemach für den Webseitenbetreiber wie dessen Besucher durch Angreifer.