Deaktivierung von JavaScript - quo bono?

  • Guten Morgen.

    Nicht deaktiviertes JavaScript kann eine Sicherheitslücke sein, habe ich gelesen.

    Weshalb?

  • Dort wo du das gelesen hast, werden doch hoffentlich auch Argumente stehen. Falls es in einem Forum war, kannst du dort auch nachfragen.

    Ich habe sehr häufig den Eindruck, dass wir hier für dich irgendwelche Hausaufgaben machen sollen.

    Es gibt keine Strong-Taste und keine Strange-Taste.

  • JaaScript kann eine Sicherheitslücke sein, wenn man sich dumm anstellt. Im ganz normalen Umgang mit dem Internet würde ich mir da aber keine Sorgen machen. Man muss es eigentlich schon heraus fordern, damit man dort Probleme bekommt.

    Einmal editiert, zuletzt von Mangoma (5. Juli 2012 um 14:14)

  • Zitat

    Im Internet surfen kann eine Sicherheitslücke sein, hab ich gelesen.

    Meine Frage bezog sich auf JavaScript, nicht auf das Internet im Allgemeinen. Hat diesen Satz mein ich natürlich ("Im Internet surfen kann gefährlich sein") jemand in eine öffentliche Toilette mit Filzstift geschrieben?

    Zitat

    Dort wo du das gelesen hast, werden doch hoffentlich auch Argumente stehen.


    Mitnichten: http://suite101.de/article/was-is…vascript-a96649

    Zitat

    dass wir hier für dich irgendwelche Hausaufgaben machen sollen.

    "Kinder! Findet heraus, ob JavaScript gefährlich ist und schreibt einen zweiseitigen Aufsatz darüber!"

    Einmal editiert, zuletzt von Anonymous (24. Juni 2012 um 13:11)

  • Zitat von Mangoma

    JaaScript kann eine Sicherheitslücke sein, wenn man sich dumm anstellt. Im ganz normalen Umgang mit dem Internet würde ich mir da aber keine Sorgen machen. Man muss es eigentlich schon heraus fordern, damit man dort Probleme bekommt.


    Was ist das bitte für eine unsinnige und falsche Aussage? :roll: Beispielsweise schonmal was von Cross Site Scripting (XSS) gehört? Das Problem ist nicht unbedingt JavaScript als Sprache, sondern wie JavaScript eingesetzt wird. Die meisten Entwickler scheren sich nicht darum, alles zu filtern, was vom Anwender kommt. Das ist doch das selbe Problem wie mit den SQL-Injections. Unsicher programmierte Webseiten sind eher die Regel als die Ausnahme... Sobald XSS möglich ist, kann schadhafter Code eingeschleust werden und damit gibt es ein ganz ernsthaftes Sicherheitsproblem. XSS ist eine der häufigsten Sicherheitslücken!

    Zitat

    XSS-Lücken in großen Webanwendungen wie MySpace, Facebook, Orkut, StudiVZ und Twitter haben spektakuläre JavaScript-Würmer möglich gemacht. Diese pflanzten sich innerhalb der Website z.B. über Benutzerprofile fort, konnten private Daten auslesen oder löschen (Phishing) und damit großen Schaden anrichten. Es gibt auch XSS-Würmer, die andere Domains mit derselben Webanwendung (z.B. der Blogsoftware WordPress) infizierten und sich so über Webserver hinweg verbreiteten.


    http://molily.de/js/sicherheit.html#xss

  • Zitat von Fury

    Ich habe sehr häufig den Eindruck, dass wir hier für dich irgendwelche Hausaufgaben machen sollen.


    Hey, von 81 Beiträgen stehen 2 NICHT im Smalltalk. Da ist auf jeden Fall jemand schwer verpeilt und möchte gerne Kotletts verteilen. Von daher - plinse.

  • Kommst du auf die selbe Quote an Beiträgen, in welchen du nicht andere User beleidigst? :roll:

    Übrigens: Die Frage des Themenerstellers ist eine legitime Frage, welche ihre Daseinsberechtigung im Smalltalk-Bereich hat. Da kommen deutlich dümmere Beiträge von in anderen Bereichen aktiveren User mit vierstelliger Beitragszahl oder in einem speziellen Fall sogar höher. Wie rechtfertigst du deinen grundlosen Spam-Beitrag samt Provokation im Smalltalk-Bereich?

  • Sören, ich habe jedenfalls den Eindruck, dass manche Benutzer nur zum "Labern" hier sind. Für mich ist das Smalltalk hier das schwarze Brett der eigentlichen Mitglieder hier, die nicht so begrenzt schreiben, daher halte ich meinen Einwand als legitim. Oder er hat nur das falsche Forum getroffen.

    Fox2Fox - du schweifst gefährlich ab :mrgreen:

  • Berny, ich habe doch eine vernünftige Frage gestellt. Außerdem zwingt dich ja niemand, meine Beiträge zu lesen, Deine Antwort auf das, was ich jetzt schreibe, werde ich mir auch nicht durchlesen. Im Übrigen hätte ich diesen Beitrag vielleicht lieber in die Sicherheitsecke stellen sollen, wenn ich so wichtig bin, dass man sich über mich echauffiert, kann man diesen Thread auch dorthin verschieben, dass ich die anderen Threads nicht lesen, weis Du mir erstmal nach.

    Zitat

    Das ganze Leben ist lebensgefährlich.

    Ich bin nie davon ausgegangen, dass JavaScript lebensgefährlich ist, da die Antwort auf meine Frage bereits gefallen ist, bin ich froh.

  • HPL, schaue dir mal NoScript an..
    http://noscript.net/
    und stelle Firefox bezüglich JavaScript so ein:
    [attachment=0]JavaScript.png[/attachment]

  • Zitat von Sören Hentzschel

    Sobald XSS möglich ist, kann schadhafter Code eingeschleust werden und damit gibt es ein ganz ernsthaftes Sicherheitsproblem. XSS ist eine der häufigsten Sicherheitslücken!


    Das einzige was ich an dieser Aussage schlimm finde, ist das sie die Leute nicht aufklärt inwiefern das eine "Sicherheitslücke" ist. Bzw. was für eine "Sicherheit" gemeint ist. Es ist zu pauschal und im Grunde der selbe Hammer, wie sie ihn Kaspersky und Co schwingen. "Cookies sind das ultimativ Böse! Jehova! Jehova!". Durch XSS wird das System im Grunde nicht gefährdet. Was gefährdet ist, sind Daten. Z.B. Passwörter, die abgegriffen werden könnten. Durch XSS erhält niemand Zugriff auf das System auf dem der Browser läuft. Das sollte man den Leuten schon klar machen. Sonst trägt das ganze nur zur Verklärung der Leute bei. Denn gerade die die nicht verstehen, werfen dann alles durcheinander und schaden sich dabei nur selbst. Systemsicherheit und Datenschutz sind nicht das selbe. Sie haben beide unterschiedliche Schwächen und sie müssen unterschiedlich behandelt werden.

    Javascript wird dann nur zu seinem (System-)Sicherheitsrisiko, wenn in der Implementierung ein Fehler steckt, der Zugriff auf das System erlaubt. Was ohne entsprechende ungepatchte Lücke nicht der Fall ist.

  • Natürlich gibt es nur ein Risiko, wenn es eine fehlerhafte Implementierung in der Applikation gibt. Auf diesem Prinzip basieren doch aber alle Sicherheitslücken. Es gäbe überhaupt keine Sicherheitsprobleme, wenn alle Anwendungen so programmiert wären, dass sie sicher sind. Das ist aber Utopie. Die Aussage, es müsse Zugriff auf das System bestehen, damit das zu einem Sicherheitsrisiko wird, ist falsch. Auf diese Weise kann Identitätsdiebstahl betrieben werden und was sich damit für Möglichkeiten eröffnen, muss ich wohl kaum erklären. Wenn das kein Sicherheitsrisiko ist, dann weiß ich auch nicht. Sicherheitslücke bedeutet doch nicht, dass direkter Zugriff auf die Festplatte bestehen muss. Eine Sicherheitslücke ist immer gegeben, wenn man missbraucht werden und einem Schaden entstehen kann. Und wer es genauer wissen will, kann sich immer noch näher damit befassen. Für mich ging es nur um die Klarstellung, dass die Behauptung, JavaScript sei nur bei Dummheit eine Gefahr, naiv und vor allem komplett falsch sei. Für XSS potentiell anfällig sind extrem viele Seiten. Nach einem Bericht des WASC (2008) sind 39% aller Sicherheitslücken von Webanwendungen XSS-Lücken.* Das ist die wirklich entscheidende Sache. Jeder kann Webseiten ins Internet stellen, aber die wenigsten kennen das Risiko und wüssten, wie sie ihre Applikation davor schützen können. Deswegen ist man als Anwender immer einer Gefahr ausgesetzt.

    Und das Internet ist tendenziell nun einmal böse. Das ist die Grundannahme, mit der man ins Internet gehen sollte. ;)

    *) Quelle: Identitätsdiebstahl und Identitätsmissbrauch im Internet - Rechtliche und Technische Aspekte, 2011, Springer-Verlag, Seite 102.

  • Zitat von Sören Hentzschel

    Identitätsdiebstahl und Identitätsmissbrauch


    In meinem Buch ist das nach wie vor ein Datenschutz- und kein Systemsicherheitsproblem. Sicher ist beides schützenswert, aber die Unterscheidung ist in meinen Augen wichtig.

  • Ich weiß nicht, wieso du immer Systemsicherheit betonst. Sicherheit ist weit mehr als das, was auf deinem Computer passiert. Und das Datenschutzproblem ist das eine, aber das ist das weitaus kleinere Problem. Natürlich ist das ein Sicherheitsproblem. Das eine schließt das andere nicht aus, ganz im Gegenteil, das geht beides oft Hand in Hand. Aber sobald persönliche Daten in Gefahr sind, ist es selbstverständlich ein Thema, welches die Sicherheit des Benutzers tangiert.