inforum 2/1996 - Java und JavaScript - bestechend, aber gefährlich
2/1996 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumJava und JavaScript - bestechend, aber gefährlich
von R. Perske
Eine ganz neue Gefahrenqualität für alle World-Wide-Web-Nutzer kristallisiert sich mit den neuen WWW-Programmen mit Java und Java-Script heraus. Nicht nur beim Anschauen von WWW-Seiten, sondern auch beim simplen Lesen elektronischer Post oder der NetNews droht Ihren Daten höchste Gefahr. Von der Verwendung von Java und Java-Script im Zusammenspiel mit dem Internet kann im Augenblick nur dringend abgeraten werden.
Durch Java und JavaScript bieten World-Wide-Web-Programme bestechende Möglichkeiten, sinnvolle und schöne Anwendungen aus dem Netz herunterzuladen und direkt vom WWW-Programm ausführen zu lassen. Nicht ohne Grund verbreiten sich Programme wie „Netscape Navigator“ ab Version 2.0 mit rasender Geschwindigkeit.
Obwohl bei der Entwicklung von Java der Punkt Sicherheit eine wesentliche Rolle spielte, wurden leider schon beim Entwurf kleine, aber schwerwiegende Fehler gemacht. Den Entwicklern von JavaScript wird man wohl bescheinigen müssen, daß sie über Datenschutz deutlich zu wenig nachgedacht haben.
Hinzu kommen bei beiden Sprachen die unvermeidlichen Kinderkrankheiten, also Programmierfehler, die erst im Laufe der Zeit entdeckt und behoben werden, die teilweise auch durch die Entwurfsfehler provoziert wurden. Einige der aktuellen Gefahren basieren auf diesen Kinderkrankheiten, andere leider auf den Entwurfsfehlern und werden daher wohl immer wieder auftreten.
Wenn man die weite Verbreitung der WWW-Programme mit Java und/oder JavaScript berücksichtigt, wenn man außerdem den von den Computerviren her bekannten kriminellen Spieltrieb einiger Individuen bedenkt, dann drängt sich die Erwartung auf, daß sich diese WWW-Programme schon bald als besonders wirksame Trojanische Pferde herausstellen. Daß die Entwicklung zerstörerischer Java-Anwendungen nur noch eine reine Fleißaufgabe darstellt, ist bereits durch Sicherheitsexperten nachgewiesen worden; in mindestens einem Fall sind sogar auf diese Art und Weise schon Dateien gelöscht worden. Solchen Anwendungen wäre ein Benutzer dieser WWW-Programme schutzlos ausgeliefert.
Was kann denn passieren? Sie schauen sich ganz harmlos eine WWW-Seite, einen elektronischen Brief oder einen NetNews-Artikel in dem im World Wide Web üblichen HTML-Format („Hyper Text Markup Language“) an. In dieser HTML eingebettet können beispielsweise JavaScript-Anweisungen stehen, die ohne Ihr Wissen oder Einverständnis eine E-Mail mit Ihnen als Absender an einen Dritten versenden. Ihnen wäre es sicherlich nicht recht, wenn in dieser Mail stehen würde, welche WWW-Seiten Sie in letzter Zeit angeschaut haben, oder wenn in dieser Mail in Ihrem Namen Straftaten wie Beleidigungen begangen würden.
In dieser HTML eingebettet können auch Anweisungen zum Laden und Ausführen von Java-Anwendungen stehen. Dies wäre ja noch völlig in Ordnung, genau wie Anweisungen zum Laden und Anzeigen von Bildern, wenn diese Fehler im Java-Interpreter nicht wären: Eine kriminell programmierte Java-Anwendung ist mit einigen Tricks in der Lage, auf Ihrer Maschine beliebigen Maschinencode auszuführen. Das kann dazu führen, daß Ihre Daten gelöscht oder unbefugt an Dritte weitergegeben, vielleicht sogar geändert oder gar mit Viren verseucht werden.
Wenn ich sagte, Sie seien diesen Angriffen schutzlos ausgeliefert, dann stimmt das nicht ganz. Die meisten dieser WWW-Programme bieten die Möglichkeit, ihre Java- und/oder ihre JavaScript-Komponente gezielt zu deaktivieren, ohne auf die anderen, häufig hervorragenden Möglichkeiten des Programms verzichten zu müssen.
Daher hier unsere dringende Empfehlung: Falls Sie ein Internet-Programm benutzen möchten, das eine Java- oder JavaScript-Komponente besitzt:
- Schalten Sie eine vorhandene Java-Komponente aus!
- Schalten Sie eine vorhandene JavaScript-Komponente aus!
- Wenn Sie eine Komponente nicht deaktivieren können:
Lassen Sie die Finger von dem Programm!
Beim wohl weit
verbreiteten „Netscape Navigator 2.02“ markieren Sie hierzu im Menüpunkt
„Options“, Unterpunkt „Security Preferences...“ die Punkte „Disable Java“
und „Disable JavaScript“, wie Sie im nebenstehenden Bild sehen können. Ob
die Markierung wie ein gedrückter Knopf aussieht (wie auf dem Bild) oder
durch ein Häkchen angezeigt wird, hängt von Ihrem Betriebssystem ab.
Wenn Sie sich für genauere Einzelheiten dieser Sicherheitsprobleme
interessieren, verweise ich auf die vielen Sicherheitsalarme, die von den
verschiedenen CERTs („Computer Emergency Response Teams“) veröffentlicht
wurden, zusammengefaßt in den WWU-News unter der WWW-Adresse
http://www.uni-muenster.de/inform/xn9603a,
und auf viele Informationen im World Wide Web, insbesondere auf http://www.cs.princeton.edu/sip/pub/secure96.html
mit dem Artikel „Java Security: From HotJava to Netscape and Beyond“ von
Dean/Felten/Wallach von der Princeton University.
Nachträgliche Anmerkung: Der im Artikel erwähnte Link
http://www.uni-muenster.de/inform/xn9603a
existiert nicht mehr. Aktuelle Informationen finden Sie
unter http://www.uni-muenster.de/WWW/Sicherheit.html
Wenn Sie schon einen Blick auf unsere Lehrveranstaltungen geworfen haben, werden Sie sich zu Recht fragen, wieso wir unter diesen Umständen überhaupt eine Lehrveranstaltung zu Java anbieten. Ganz einfach: Wir denken, daß der Siegeszug von Java trotz dieser Probleme nicht aufzuhalten ist und daß in sorgfältig geschützten lokalen Netzen Java bereits jetzt seine volle Existenzberechtigung besitzt. Außerdem besteht bei vielen Java-Freunden die Hoffnung, daß das Entwicklerteam der Fa. Sun die Gefahren in absehbarer Zeit in den Griff bekommen wird.
2/1996 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
