Scripting im Internet

Umgang mit JavaScript & Co.

Hintergrund

Skripte - kleine Programme, die auf dem Rechner eines Internet-Nutzers ausgeführt werden, etwa im Web-Browser oder E-Mail-Programm - sind traditionell ein Sicherheitsproblem. Obwohl die Hersteller von Internet-Anwendungen bemüht sind, die Skriptsprachen auf die vom Benutzer gewünschte Funktionalität einzuschränken, werden doch immer wieder Sicherheitslücken bekannt, die es Skripten erlauben, Funktionen auszuführen oder andere Effekte zu bewirken, die nicht erwünscht sind, etwa das Ausspionieren oder Löschen von Daten oder die versteckte Installation weiterer schädlicher Programme.

Nicht die Skriptsprachen an sich sind gefährlich, sondern der Kontext, in dem sie ausgeführt werden - nicht jedes Skript ist gefährlich, und Programme in vielen anderen Sprachen haben ein viel größeres Gefährdungspotenzial. Der Unterschied liegt darin, dass man als Benutzer eines "normalen" Programms üblicherweise eine größere Kontrolle ausübt, indem man den Einsatz plant und sich über den Hersteller informiert - hingegen lädt man häufig neue, unbekannte Internet-Seiten und hat dabei keine Möglichkeit, sich zuvor über die Seriosität des Anbieters zu informieren; der Otto-Normal-Nutzer weiß weder, ob überhaupt irgendein Skript ausgeführt wird, noch wie er an diese Information kommen könnte. Natürlich besteht auch bei konventioneller Software ein gewisses Risiko, dass sie nicht (nur) das tut, was von ihr erwartet wird, in diesem Fall haben jedoch Schutzkomponenten wie Firewalls und Virenscanner eine gewisse Chance, die sie bei Skripten innerhalb anderer Anwendungen (z.B. Browser) nicht haben, die sich dort relativ gut tarnen können.

Die einfachste Möglichkeit zum Schutz vor gefährlichen Skripten ist ihre komplette Deaktivierung im entsprechenden Programm (z.B. Browser) oder die Nutzung von Programmen, die erst gar keine Ausführung unterstützen (z.B. der Browser Lynx). Doch dieser Verzicht bedeutet in der Praxis eine Reduzierung der Darstellung auf statische Inhalte wie einfache HTML-Seiten: viele komplexe Internet-Seiten, insbesondere solche mit modischer interaktiver Web-2.0-Funktionalität und multimedialen Inhalten, werden also nicht mehr funktionieren.

Eine Lösung dieses Dilemmas - neben der Unterstützung durch aktuelle und gut gepflegte Open-Source-Software sowie gesunden Menschenverstand - ist die selektive Freigabe von Skripten, d.h. die Entscheidung im Einzelfall, ob ein Skript ausgeführt werden soll oder nicht. Doch wie so oft besteht ein Konflikt aus Sicherheit und Komfort: es wäre unzumutbar, für jeden einzelnen Aufruf einer Internet-Seite im Browser in dessen Einstellungen zu gehen und diese umzuschalten. Besser ist eine integrierte Komponente, die auf Basis einer Whitelist, die Entscheidungen des Benutzers abspeichert, also eine gewisse Lernfähigkeit hat. Diese Funktionalität bietet beispielsweise ein Add-On für Firefox namens NoScript, das u.a. eine solche Positivliste von Internet-Adressen verwaltet, die dem Benutzer vertrauenswürdig erscheinen.

"Zusätzlicher Schutz für Ihren Browser: NoScript erlaubt das Ausführen von JavaScript, Java (und anderen Plugins) nur bei vertrauenswürdigen Domains Ihrer Wahl (z.B. Ihrer Homebanking-Website). Der auf einer Positivliste basierende präventive Ansatz zum Blockieren von Skripten verhindert das Ausnutzen von (bekannten und unbekannten!) Sicherheitslücken ohne Verlust an Funktionalität."

Für E-Mail-Programme hingegen ist es sehr schwierig, sinnvolle Kriterien zu definieren, zumindest solange der Absender einfach gefälscht werden kann, so dass man hier weiterhin die Skripting-Funktionen generell deaktivieren sollte, auch wenn damit einige E-Mails weniger hübsch wirken. Ist der Nutzen bestimmter Mails, etwa Newsletter, hierdurch eingeschränkt, so sollte der Absender darüber informiert und/oder eine Nur-Text-Version abonniert werden.

Benutzung

Das Herunterladen und die Installation von NoScript verläuft analog zum Verfahren mit anderen Erweiterungen: Die XPI-Datei wird mit Firefox (oder einem anderen kompatiblen Browser) geöffnet, dann wird den Anweisungen gefolgt. Nach einem Neustart des Browsers befindet sich ein neues Icon in dessen Statusleiste, das den Skript-Status für die jeweils angezeigte Website darstellt sowie zur Steuerung des Add-Ons dient.

Empfohlene Vorgehensweise:

Grundsätzlich bleiben Skripte verboten!
Das stört bei den meisten Internet-Seiten überhaupt nicht, oft wird der Seitenaufbau sogar beschleunigt, weil auf diese Weise auch Werbung blockiert werden kann. Ordentlich programmierte Internet-Seiten zeigen von sich aus eine Meldung, dass sie Skripte benutzen möchten. Bei schlampig entwickelten Seiten kann es z.B. passieren, dass man Daten in ein Formular erneut eingeben muss, nachdem die Skripte nachträglich aktiviert worden sind.
Funktioniert eine Seite nicht wie erwartet - sieht etwa das Layout seltsam aus oder reagieren Schaltknöpfe nicht - UND vertraut man dem Anbieter, dann kann man versuchsweise das Skripting temporär (bis der Browser geschlossen wird) für die aktuelle Seite zu erlauben, um herauszufinden, ob dies der Grund für die Probleme ist.
⇒ Klick auf das NoScript-Icon ⇒ Klick auf Hauptdomain (sollte fett markiert sein) ⇒ temporär erlauben (kursiv)
Daraufhin sollte die Seite neu geladen werden - nach Voreinstellung von NoScript passiert dies automatisch.
Sind an der Seite mehrere Domains beteiligt, kann man alle der Reihe nach durchprobieren.
Die Gründe für eine solche Fragmentierung sind unterschiedlich: Es kann sich um von externen Servern eingeblendete Werbung, Spionage-Komponenten, internationale Texte oder multimediale Inhalte handeln. Vertraut man einzelnen Domains nicht, so sollte man sie permanent als nicht vertrauenswürdig markieren, damit sie aus der NoScript-Domain-Liste in ein Untermenü verbannt werden, so dass man sie nicht versehentlich anklickt.
Hat man den oder die Schuldigen gefunden UND besucht man die aktuelle Website regelmäßig, dann kann man die Skripte für die entsprechenden Domains in die NoScript-Positivliste aufnehmen lassen, d.h. permanent erlauben.
Die Positivliste kann über die Einstellungen von NoScript eingesehen und bearbeitet werden. Zwecks Übersichtlichkeit und Leistungsfähigkeit sollte sie einigermaßen kurz gehalten werden, also nur solche Seiten enthalten, die man häufig besucht, denen man vertraut und die die Skripte unbedingt benötigen. Beispiele hierfür sind: E-Mail-Dienste und Nachrichtenportale, Homebanking- und Shoppingseiten, Foto- und Videoportale, Foren und Wikis, Blogs und Communities.