Wenn sich sonst keiner dazu äussert stelle ich mal einen Hinweis vom BSI - Bundesamt für Sicherheit in der Informationstechnik - ein.
Achja, diese Meldung stammt vom 21.9.1999. Da gab es Bösewichter wie
Nimda noch nicht mal....
BSI warnt vor dem Einsatz von JavaScript
|
In letzter Zeit wurden in den verbreiteten WWW-Browsern Microsoft Internet Explorer und Netscape Communicator zahlreiche neue Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX, JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. So können Angreifer beispielsweise Nutzerkennung mit Passwörtern oder auch lokal gespeicherte Daten von privaten und kommerziellen Internetnutzern ausspionieren. Grund für diese Fehler sind vor allem Programmierfehler - eine risikofreie Implementierung scheint kaum möglich zu sein. Selbst die Browserhersteller haben in diesem Zusammenhang schon dazu geraten, das Ausführen aktiver Inhalte, insbesondere von JavaScript, in den Browsern abzustellen. Da sich der Internet-Nutzer einem kaum einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der Nutzung des Internets auf aktive Inhalte zu verzichten.
Während Java oder ActiveX jedoch nur auf wenigen WWW-Servern Verwendung findet, sind viele WWW-Server heute ohne JavaScript nur noch eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es ausschließlich für optische Spielerein genutzt. Diese WWW-Server könnten mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern dringend, vollständig auf JavaScript zu verzichten oder zumindest für ihre sicherheitsbewussten Kunden Alternativangebote bereitzustellen, die ohne aktive Inhalte dargestellt werden können.
Pressesprecher: M. Dickopf, Tel.: (0228) 9582-307, Fax: (0228) 9582-403, Postfach 200363, 53133 Bonn - e-mail: Michael.Dickopf@bsi.bund.de