nicht angemeldet
JavaScript abschalten?
Hallo Forumler,
zur Zeit lese und höre ich immer wieder von Sicherheitslücken auch bei JavaScript (z. B. bei Mails mit HTML-Anhang incl. JavaScript, Zugriff auf Dateisystem über JS). Entsprechend raten z. B. die Redakteure der PC-Welt in der aktuellen Ausgabe (10/99) Java, ActiveX und JavaScript komplett abzuschalten (Artikel als PDF: http://www.pc-welt.de/ausgabe/plus/pcwplus9910.pdf).
Ähnlich der HEISE-Newsticker vom 11.09.99: http://www.heise.de/newsticker/data/nl-11.09.99-000/
Wie steht ihr dazu? Sind die Statements im Archiv </sfarchiv/1999_2/t03147.htm> noch aktuell?
Viele Grüße
Stefan aus Münster
-
nach meiner persönlichen erfahrung:
a.) active x auschalten in ie, navigator kann ja sowieso active x net
b.) über java kann man sich streiten, ich hab's ausgeschaltet
c.) gibt es noch sites ohne javascript ? was soll man sich anlooken, wenn man javascript ausschaltet ?
peter-
nach meiner persönlichen erfahrung:
a.) active x auschalten in ie, navigator kann ja sowieso active x net
b.) über java kann man sich streiten, ich hab's ausgeschaltet
c.) gibt es noch sites ohne javascript ? was soll man sich anlooken, wenn man javascript ausschaltet ?Meine Site laeuft ohne und zuem Glueck noch viele andere.
Eine Site sollte _immer_ auch ohne Javascript benutzbar sein... Sollte, leider halten sich viele nicht daran. :-(
Ein Problem beim Netscape ist, dass bei abgeschaltetem Javascript ebenfalls die CSS-Engine tot ist. :-(
Aus diesem Grund ist Javascript bei mir aktiviert, Java aber deaktiviert. Fuer Mails ist es sowieso deaktiviert. Wozu muessen Mails Java(-Script) beinhalten?
-
-
Hallo Forumler,
zur Zeit lese und höre ich immer wieder von Sicherheitslücken auch bei JavaScript (z. B. bei Mails mit HTML-Anhang incl. JavaScript, Zugriff auf Dateisystem über JS). Entsprechend raten z. B. die Redakteure der PC-Welt in der aktuellen Ausgabe (10/99) Java, ActiveX und JavaScript komplett abzuschalten
also, MEINE Meinung:
ActiveX: darueber hab ich schon von SO vielen Seiten uebles gehoert, dass ich hier tatsaechlich dazu tendiere, misstrauisch zu sein, also: Auslassen!
Java, Javascript:
ich wuesste nicht, wie diese beiden Schaden auf deinem Rechner anrichten koennten, mal abgesehen von gelegentlichen Abstuerzen durch kaputte scripts/applets... also: generell anlassen.
Boris
(wie gesagt: _MEINE_ Meinung. Keine wissenschaftlich bewiesenen Tatsachen!)
-
Java, Javascript:
ich wuesste nicht, wie diese beiden Schaden auf deinem Rechner anrichten koennten, mal abgesehen von gelegentlichen Abstuerzen durch kaputte scripts/applets... also: generell anlassen.
Naja, wer die c't oder andere Magazine liest, kann immer wieder ueber Fehler in den Java-VMs von Netscape und MS lesen. Diese Fehler erlauben es Programmen, kompletten Zugriff auf den _gesamten_ Rechner zu gewaehren.
Bei Windows-Rechner bedeutet dies, dass mit Hilfe eines gemeinen Java-Applets z.B. ein Trojaner installiert werden kann, die Festplatte gelscht werden kann, etc.
Aber auch unter Unix-Systemen ist es gefaehrlich, da zumindest im home-Verzeichnis des Users allerlei Uebles angestellt werden kann.
Ich bin mir im Moment nicht sicher, inwieweit Javascript Luecken enthaelt, aber eins ist sicher: Java sollte deaktiviert sein! (Solche Sachen wie Active-X und Active-Scripting sowieso - welcher Admin nutzt soetwas auf seinen Seiten?)
Noch was: Wenn eine Seite ohne Javascript und Java nicht benutzbar ist, einfach eine Mail an den Admin schicken. Je mehr Mails es werden, desto eher wird er das Design kompatibel gestalten. Ich bin nicht gegen Javascript, aber ich bin ein Gegner des ohne-javascript-geht-nix-denkens.-
Hallo Michael, hallo Forum,
danke für Deine / Eure Statements. Ich persönlich habe JavaScript auch aktiviert, diskutiere aber zur Zeit häufiger mit den IT-Experten unserer Firma, die trotz Firewall alle (!) aktiven Komponenten im Browser sowie sämtliche (!) Mail-Funktionen aus Sicherheitsgründen abgeschaltet haben. Macht bei einem großen Netzwerk ja vielleicht auch mehr Sinn als bei einem Privatrechner. Trotzdem ärgerlich, dass viele Sites dann nicht mehr navigierbar sind.
Wenn jemand konkrete Hinweise auf Angriffe über JavaScript hat, bitte melden, gerne auch per Mail.
Viele Grüße
Stefan aus MS
-
IT-Experten unserer Firma, die trotz Firewall alle (!) aktiven Komponenten im Browser sowie sämtliche (!) Mail-Funktionen aus Sicherheitsgründen abgeschaltet haben.
Unsere Firewall filtert den Inhalt von HTML-Seiten, die von außen kommen. Java-Applets werden herausgelöscht. JavaScript-Code wurde früher ebenfalls entfernt (jetzt nicht mehr).
Eine solche Vorgehensweise hat immerhin den Vorteil, daß man in seinem Browser alles aktiv haben kann und wenigstens im Intranet alles funktioniert - und man nicht am Browser herumschrauben muß, wenn man zwischen Intranet und Internet wechselt.Trotzdem ärgerlich, dass viele Sites dann nicht mehr navigierbar sind.
In der Tat. We ein solches Fehldesign macht, der verschreckt seine Kunden. Es darf ja gerne weniger schön aussehen, aber es muß noch irgendwie funktionieren, auch ohne JavaScript.
Bei Java ist das anders: Wenn ein Applet nicht da ist, dann ist die Seite normalerweise wertlos.Wenn jemand konkrete Hinweise auf Angriffe über JavaScript hat, bitte melden, gerne auch per Mail.
Es gibt eine Möglichkeit, über ein JavaScript-Objekt den Cache anzusprechen und die darin stehenden URLs zu lesen. Wenn dort Passworte als CGI-Parameter drin stehen, sind diese ausspähbar (per Mail nach außen gesendet etc.)
-
-
-