Hallo,

Das ist ja das hirnverbranteste, was ich bis jetzt über den IE6 gelesen habe: Er stuft *lokale* Ressourcen kritischer ein als das gemeine böse Internet? Das ist 180° entgegengesetzt zu meiner eigenen Auffassung und Meinung.

Dann schaue mal über den Tellerrand hinaus. Es ist nicht hirnverbrannt, sondern nur logisch.

Es hat auch überhaupt nichts mit Sicherheitslücken zu tun, wie hier im Thread diskutiert wurde. Es ist ein generelles Problen, das alle großen Browser betrifft, ohne dass jemand dies als Sicherheitslücke bezeichnet.

Scripte in der lokalen Zone können alle lesbaren lokalen Dateien lesen (mittels iframe, Frames, XMLHttpRequest usw. - also keine fraglichen proprietären Techniken). Die Verzeichnis-Listings sind i.d.R. zugänglich, sodass man mit JavaScript rekursiv alle Dateien nach der gesuchten vertraulichen Information durchsuchen könnte. *Und* lokale Scripte können mit dem Internet über Formulare und GET-Parameter mit dem Internet kommunizieren. Damit können sie lokale Dateien ins Internet senden. Damit ist jedes Script von außerhalb potenziell eine Sicherheitsrisiko.

Scripte in der Internet-Zone hingegen können nur Dateien derselben Domain lesen und mit dem Internet kommunizieren. Durch die Same Origin Policy kommen sie dabei nicht an sensible Daten des Benutzer heran - wohl gemerkt, ich blende mögliche Sicherheitslücken aus, sondern gehe von hypothetisch fehlerfreien Browsern aus, um zu zeigen, dass dieser Umstand die Problematik nicht entschärft.

Für lokale Ressourcen lasse ich nahezu alles zu, denn die kann ich selbst kontrollieren, kann sie also "vor Gebrauch" soweit entschärfen, dass ich sie dann gefahrlos nutzen kann.

Das ist ein Null-Argument. Der Normalanwender hat keine derartige Kontrolle über Scripte, die von irgendwoher auf seine Festplatte kommen. Dazu müsste er Programmierer sein und jedes HTML-Dokument samt eingebundenen Ressourcen durchforsten. Er will aber ein HTML-Dokument z.B. auf der Festplatte speichern können, ohne dass beim Öffnen einen Code aktiv wird, der die »Eigenen Dateien« oder das Home-Verzeichnis durchsucht. Ist es da nicht verständlich, dass ein Browser erst einmal lokale Scripte strenger behandelt, weil ihre Reichweite file:// anstatt nur http://www.example.org umfasst?

Dafür sind die Sicherheitseinstellungen für Online-Ressourcen bei mir *sehr* restriktiv, denn da weiß ich nie, was mich erwartet.

Sie sollten bei allen, die nicht jedes JavaScript-Fitzelchen aus dem Internet haarklein untersuchen, für lokale Scripte noch restriktiver sein. Die Problematik der Sicherheitslücken kommt erst zu diesem Problem hinzu.

Mathias