Auch wenn versucht wurde, die Möglichkeiten zu begrenzen, die solchen per se nicht vertrauenswürdigen Programmen eingeräumt werden, sind etliche Einbrüche und damit für den Benutzer oft nicht sofort bemerkbare Schad-Wirkungen (Ausspähung von Daten) aufgetreten.
Sicherheitsprobleme:
im Design eingebaut (es wird ungeprüfter Native Code ausgeführt):
durch fehlerhafte Implementierung von Sandbox, Interpreter oder Objektmodell:
Empfehlung:
Es ist deshalb unbedingt zu empfehlen, die Funktionen JavaScript und Java im WebBrowser zu deaktivieren!
Beim NetscapeNavigator? (hier 4.76) geschieht dies bespielsweise über die Menüpunkt Edit -> Preferences... und den Unterpunkt Advanced.
Modernere Browser wie z.B. der im Projekt KDE enthaltene Konqueror und Microsofts InternetExplorer werden das Aktivieren von JavaScript für einzelne vertrauenswürdige Sites, die diese Features dennoch unbedingt erfordern, erlauben.
Die Frage der BrowserSicherheit ist sicher keine einfache. Es gibt neben Java und Javascript auch andere mögliche Sicherheitsrisiken. Der obige hostile-applets-Link ist auch nicht mehr taufrisch (Aktivitäten 1996-1998). Siehe dazu auch den von mir initierten aktuellen thread "Applets ein Sicherheitsproblem" in news:de.comp.lang.java . Auf den ersten Blick scheint es, dass in jedem Fall Javascript und Plugins ein höheres Sicherheitsrisiko erzeugen als Java. Der Benutzer und seine Entscheidungen zusätzliche Software in welcher Form immer zu installieren und ihr damit Rechte zu verschaffen, spielt sicher die wesentlichste Rolle. Vermutlich sollte man diese Seite klar nach den einzelnen Bereichen gliedern und die aktuelle Situation abklopfen.
Browser Hijacking |
Wie man im aktuellen ct-Browsercheck überprüfen kann (Stand 01/2004), ist es möglich, die im Internet Explorer angezeigte URL zu fälschen. Dies und andere Sicherheitslöcher führen dazu, dass man als sicherheitsbewusster Surfer Verbindungen mit nicht vertrauenswürdigen Sites unbedingt unterlassen muss. Leider ist bei einer Internetrecherche über Suchmaschinen völlig unklar, ob die gefundenen Seiten vertrauenswürdig sind. Über Werbebanner können ebenfalls ungewollte Verbindungen zustandekommen. Beim sogenannten Hijacking wird der Browser "gekapert" und immer wieder auf dafür vorgesehene, schädliche Internetseiten umgeleitet. Nicht nur der Internet Explorer lässt sich kapern und auch Linux bietet nicht unbedingt Schutz. Ein einfaches Überschreiben der Host-Datei gnügt, um Anfragen an gängige Internet-Sites auf "böse" Seiten umzulenken.
Schutz vor unentdeckten Kaperungen bieten Systeme zur "Intrusion Detection", siehe etwa http://www.heise.de/security/artikel/37980. Schutz vor Kaperung ist kniffliger. Als Maßnahme mit den kurzfristig besten Erfolgsaussichten kann die Verwendung von wenig genutzten Browsern gelten. Die meisten Angriffe auf Sicherheitslücken hat man mit dem Browser zu erwarten, den die Mehrheit der Internet-Nutzer verwendet.