Mario Sedlak
Softwareentwicklung
Computer
Software
Hauptthemen

Gefahren von Javascript

Eigentlich sollte mittels Javascript nur der Zugriff auf das Browser-Fenster, in dem das Skript läuft, möglich sein – nicht jedoch der Zugriff auf andere Fenster oder gar auf den ganzen Computer. In der Praxis ist aber keine Software fehlerfrei, so auch nicht die Browser. Laufend werden neue Sicherheitslücken entdeckt, die es einem Angreifer ermöglichen, die Zugriffsbeschränkungen zu umgehen und Schadsoftware auf deinen Computer zu schleusen oder deine Daten auszuspionieren.

Beispiele

Warnungen

Viele Sicherheitslücken, die Browser haben, können nur mittels Javascript ausgenutzt werden. Daher empfehlen Experten, Javascript so weit als möglich zu deaktivieren.[1]

Seit ca. 2010 haben die Warnungen abgenommen – aber nicht weil Javascript sicher geworden wäre, sondern weil Javascript auf immer mehr Websites vorausgesetzt wird, sodass ein komplettes Abschalten der Sprache nicht mehr praktikabel ist.

Gegenmaßnahmen

Natürlich solltest du deinen Browser immer aktuell halten. Vor neuartigen Angriffen bist du in vielen Fällen aber nur dann geschützt, wenn du Javascript in deinem Browser ausgeschaltet hast bzw. nur für vertrauenswürdige Websites zulässt. Ich tue genau das, denn die Sicherheit meines Computers ist mir wichtig.

Die meisten Websites sind auch ohne Javascript noch bedienbar, wenngleich mit Einschränkungen wie z. B. einem "zerstörten" Layout. Seiten, die auf Javascript angewiesen sind, vermeide ich nach Möglichkeit.

Falsche Beschwichtigung

Website-Betreiber behaupten gerne, man kann Javascript auf ihren Seiten bedenkenlos aktivieren, weil sie nur harmlose Sachen damit tun. Dabei vergessen sie eines: Auch Webserver werden gehackt, und diese liefern dann Schadsoftware an die vertrauensvollen Benutzer! Kein Webmaster der Welt kann das ausschließen! Es waren schon hunderttausende Webseiten – sogar von Regierungen – mit schädlichem Javascript infiziert.

Weiter

Programmiersprachen: Matlab
Internet: Java-Applets

Quellen

[1]