Hallo - das BSI warnt - und empfiehlt, JavaScript zu deaktivieren. Andererseits muss man es für einige Anwendungen haben (z.B. Homebanking?) - oder ist Java und JavaScript zweierlei? :S
Grüße von Gerhard
Guten Tag,
das Risiko, sich einen Trojaner allein durch Surfen im Internet
einzufangen, steigt. Der Grund dafuer ist die in den letzten Monaten
stark gestiegene Zahl von infizierten Webseiten, darunter auch immer
haeufiger vermeintlich vertrauenswuerdige, warnt das BSI. Auch mehrere
IT-Sicherheitsunternehmen vermelden diesen gefaehrlichen Trend zu
manipulierten Webseiten. Auf mehr als der Haelfte solcher schaedlicher
Seiten finden sich laut einer aktuelle Studie der Firma Sophos Sophos
[http://www.sophos.de] sogenannte "iFrames" oder verschleierter
JavaScript-Code. Dies zeigt, wie wichtig es ist, Aktive Inhalte wie
beispielsweise JavaScript im Browser zu deaktivieren
Ja, Java und Javascript ist etwas anderes. Das mal vorweg.
Mit JavaScript lassen sich viele Dinge im Browser automatisieren, quasi fernsteuern durch den Anbieter der Webseite. Das kann man leider auch ausnutzen um den Rechner auszuspionieren oder Seitenaufrufe zu manipulieren.
Was aber noch viel schlimmer ist als Javascript ist ActiveX. Das hat so tiefe Eingriffe in Windows das man sich völlig in die Hände eines Angreifers gibt. Zum Glück funktioniert ActiveX nicht auf meinem Mac.
Ich surfe häufig noch mit eingeschaltetem Javascript. Viele schöne Effekte und leider auch die Bedienung von Menüs funktionieren ohne Javascript nicht. Wenn ich mich auf unbekanntes Gebiet begebe (unbekannte Seiten) schalte ich es auch schon mal ab. Nicht ganz konsequent. Ich habe da auch kein Rezept.
Hallo Gerd,
Du sprichst mir aus der Seele! Ich war vor zwei Wochen erst wieder beim BSI, zu einer Tagung der EICAR WG2
Es ist und bleibt ein heiß diskutiertes Thema.
Ich bin, in voller Übereinstimmung mit dem BSI, der Ansicht, daß man Webseiten problemlos ohne Javascript gestalten kann. Viele Marketing-Abteilungen meinen aber, man könne so dem Nutzer lustigere und buntere Seiten bieten. Und solange die Anwender auf scheinbar lustige und bunte Bildchen abfahren, hört kaum jemand auf den einsamen Mahner in der Wüste.
Für den Firefox (und andere Mozilla-Produkte) gibt es eine Erweiterung, mit der man sich als Anwender sehr gut vor Javascript und ähnlichem Ungemach schützen kann: Noscript
Wenn man es installiert hat, ist Javascript zunächst einmal außen vor!
Das hat natürlich zur Folge, daß Seiten, die danach verlangen, nicht oder nicht vollständig dargestellt werden bzw. funktionieren. Man erhält aber einen Hinweis darauf und kann, wenn man glaubt, die Seite sei vertrauenswürdig, Javascript dauerhaft oder temporär (= bis zum Neustart des Browsers) freigeben, und zwar speziell für diese eine Domäne. Das läßt sich natürlich auch jederzeit rückgängig machen.
Ich benutze diese Erweiterung schon fast solange wie ich mit FF arbeite - ein absolutes MUSS.
Der download von noscript von der angegebenen Seite scheint nicht zu klappen.
Besser geht es von https://addons.mozilla.org/de/firefox/addon/722
Gruß Manfred
01.05.2008
Übrigens: bei dieser Gelegenheit habe ich entdeckt, dass die installierten Plugins im Firefox-Menü unter Extras - Add-ons kontrolliert und parametriert werden können.
Bei dieser Gelegenheit habe ich auch ein unerwünschtes Plugin gleich deinstallieren können.
Während ich dies schreibe, meldet das Plugin bereits : "Site nicht vertrauenswürdig"
hrk schrieb:
> Viele
> Marketing-Abteilungen meinen aber, man könne so
> dem Nutzer lustigere und buntere Seiten bieten.
> Und solange die Anwender auf scheinbar lustige und
> bunte Bildchen abfahren, hört kaum jemand auf den
> einsamen Mahner in der Wüste.
Das ist ein großes Problem!
Ich habe auch schon bei einigen Projekten vorgeschlagen, auf JS zu verzichten, doch die Kunden wollten dolle Navigationen oder sonstige Spielereien haben, die ohne JS nicht wirklich umsetzbar sind...
Ciao
dirk
Ich bin da anderer Meinung. Die Gefahr durch JavaScript ist nicht so gravierend, wie das manchmal dargestellt wird. Java (ja, das ist etwas ganz anderes) und ActiveX sind schlimmer und iFrames sind nochmal ein ganz anderes Thema (allerdings sehe ich auch dabei keine allzu große Gefahr).
Vom Konzept her wäre JavaScript relativ sicher (läuft im Browser in der Sandbox), aber es gibt eben immer mal wieder Sicherheitslecks in den Browsern und noch schlimmer, Anwender die ständig mit Administrator-Rechten arbeiten. Wenn man dagegen die üblichen Sicherheitsmaßnahmen beachtet und regelmäßig die Software auf den neuesten Stand bringt, dann sollte JavaScript eigentlich gar nicht soo kritisch sein...
Im Gegenteil - ohne JavaScript läuft im Web heute fast gar nichts mehr. Mit JS werden eben nicht nur überflüssige Verzierungen realisiert, sondern wichtige Funktionen moderner Websites. Ohne JS geht kein Ajax und kein Web 2.0 - wenn man darauf verzichtet, dann klemmt man einen Teil der Weiterentwicklung der letzten Jahre im WWW einfach so komplett ab. Das sollte man sich also gut überlegen.
Man kann eine Website mit modernem HTML und CSS auch ohne JavaScript erstellen und trotzdem ein ansprechendes Design realisieren. Es sind aber immer wieder die vielen nützlichen kleinen Zusatzfunktionen, die bei einem Verzicht auf JavaScript wegfallen.
Ich würde daher nicht ganz auf JavaScript verzichten, sondern stattdessen nur fordern, dass die volle Funktion der Website auch dann gewährleistet ist, wenn man JavaScript im Browser deaktiviert. Dann kann der Anwender nach eigenem Geschmack zwischen Komfort und Paranoia wählen.