Scripting im Internet

Umgang mit JavaScript & Co.

Hintergrund

Skripte - kleine Programme, die auf dem Rechner eines Internet-Nutzers ausgeführt werden, etwa im Web-Browser oder E-Mail-Programm - sind traditionell ein Sicherheitsproblem. Obwohl die Hersteller von Internet-Anwendungen bemüht sind, die Skriptsprachen auf die vom Benutzer gewünschte Funktionalität einzuschränken, werden doch immer wieder Sicherheitslücken bekannt, die es Skripten erlauben, Funktionen auszuführen oder andere Effekte zu bewirken, die nicht erwünscht sind, etwa das Ausspionieren oder Löschen von Daten oder die versteckte Installation weiterer schädlicher Programme.

Nicht die Skriptsprachen an sich sind gefährlich, sondern der Kontext, in dem sie ausgeführt werden - nicht jedes Skript ist gefährlich, und Programme in vielen anderen Sprachen haben ein viel größeres Gefährdungspotenzial. Der Unterschied liegt darin, dass man als Benutzer eines "normalen" Programms üblicherweise eine größere Kontrolle ausübt, indem man den Einsatz plant und sich über den Hersteller informiert - hingegen lädt man häufig neue, unbekannte Internet-Seiten und hat dabei keine Möglichkeit, sich zuvor über die Seriosität des Anbieters zu informieren; der Otto-Normal-Nutzer weiß weder, ob überhaupt irgendein Skript ausgeführt wird, noch wie er an diese Information kommen könnte. Natürlich besteht auch bei konventioneller Software ein gewisses Risiko, dass sie nicht (nur) das tut, was von ihr erwartet wird, in diesem Fall haben jedoch Schutzkomponenten wie Firewalls und Virenscanner eine gewisse Chance, die sie bei Skripten innerhalb anderer Anwendungen (z.B. Browser) nicht haben, die sich dort relativ gut tarnen können.

Die einfachste Möglichkeit zum Schutz vor gefährlichen Skripten ist ihre komplette Deaktivierung im entsprechenden Programm (z.B. Browser) oder die Nutzung von Programmen, die erst gar keine Ausführung unterstützen (z.B. der Browser Lynx). Doch dieser Verzicht bedeutet in der Praxis eine Reduzierung der Darstellung auf statische Inhalte wie einfache HTML-Seiten: viele komplexe Internet-Seiten, insbesondere solche mit modischer interaktiver Web-2.0-Funktionalität und multimedialen Inhalten, werden also nicht mehr funktionieren.

Eine Lösung dieses Dilemmas - neben der Unterstützung durch aktuelle und gut gepflegte Open-Source-Software sowie gesunden Menschenverstand - ist die selektive Freigabe von Skripten, d.h. die Entscheidung im Einzelfall, ob ein Skript ausgeführt werden soll oder nicht. Doch wie so oft besteht ein Konflikt aus Sicherheit und Komfort: es wäre unzumutbar, für jeden einzelnen Aufruf einer Internet-Seite im Browser in dessen Einstellungen zu gehen und diese umzuschalten. Besser ist eine integrierte Komponente, die auf Basis einer Whitelist, die Entscheidungen des Benutzers abspeichert, also eine gewisse Lernfähigkeit hat. Diese Funktionalität bietet beispielsweise ein Add-On für Firefox namens NoScript, das u.a. eine solche Positivliste von Internet-Adressen verwaltet, die dem Benutzer vertrauenswürdig erscheinen.

"Zusätzlicher Schutz für Ihren Browser: NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl (z.B. Ihrer Homebanking-Website). Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität."

Für E-Mail-Programme hingegen ist es sehr schwierig, sinnvolle Kriterien zu definieren, zumindest solange der Absender einfach gefälscht werden kann, so dass man hier weiterhin die Skripting-Funktionen generell deaktivieren sollte, auch wenn damit einige E-Mails weniger hübsch wirken. Ist der Nutzen bestimmter Mails, etwa Newsletter, hierdurch eingeschränkt, so sollte der Absender darüber informiert und/oder eine Nur-Text-Version abonniert werden.

Benutzung

Das Herunterladen und die Installation von NoScript verläuft analog zum Verfahren mit anderen Erweiterungen: Die XPI-Datei wird mit Firefox (oder einem anderen kompatiblen Browser) geöffnet, dann wird den Anweisungen gefolgt. Nach einem Neustart des Browsers befindet sich ein neues Icon in dessen Statusleiste, das den Skript-Status für die jeweils angezeigte Website darstellt sowie zur Steuerung des Add-Ons dient.

Empfohlene Vorgehensweise:


Copyright © 2007 Nina Marwede   -   Last change: 2008-10-22 01:54:14  -   Valid XHTML