Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

JavaScript und Sicherheit

Mitglied: viertelpunkt

hab nur eine kurze Frage wegen JavaScript. Laßt ihr es aktiviert oder sollte man es besser deaktivieren?

sorry für das doppelposting ist nur ein bißerl dringend :) face-smile

Hallo,
hab nur eine kurze Frage wegen JavaScript. Laßt ihr es aktiviert oder sollte man es besser deaktivieren? Wie sieht es bei etwas größeren Firmen aus (mich interessieren z.b Autohersteller wie z.B. Vw, BWM usw.). Meiner Meinung nach ist es ja eventuell doch ein unkalkulierbares Risiko.

Danke für eure Meinungen
gruß
viertel

Content-Key: 4838

Url: https://administrator.de/contentid/4838

Ausgedruckt am: 21.06.2021 um 16:06 Uhr

9 Kommentare
Mitglied: meto
Hallo!

Hast du schon mal im Internet gesurft ohne JavaScript. Dann weißt du wie nervig das ist und wie du damit die Webseiten außer Funktion setzt. Ich denke das es mit Sicherheit größere Risiken als JavaSript gibt und das man den Webentwicklern diese inzwischen sehr wichtige Programmiermöglichkeit nicht kaputt machen sollte.

Also aus meiner Sicht sollte man JavaScript anlassen und ansonsten schaun, dass man sich z. B. ein aktuelles Virenprogramm installiert und eventuell auch eine Firewall nutzen.

Mich würden aber auch mal andere Meinungen interessieren.

Gruß
Meto
Mitglied: marc-1303
Hallo viertel

Ich kann mich der Antwort von meto nur anschliessen.
Eine kleine Ergänzung würde ich allerdings noch wagen: Wenn Du bzw. Deine Leute mit dem InternetExplorer unterwegs bist/seid empfiehlt es sich, die neueste Java-Version von www.java.com herunter zu laden. Diese installiert sich als Java-Konsole und ersetzt die jenige von Microsoft.

Die Version von Sun Microsystems ist auf dem aktuellsten Stand bezüglich Sicherheit.
Denn was viele nicht wissen: Microsoft hat schon vor langer Zeit den Support von Java eingestellt. Das heisst, mit dem InternetExplorer bist Du offen für alle "neuen" Java-Hacks.

Hoffe, dass ich Dir mit dieser Antwort noch etwas mehr helfen konnte.

Gruss
Marc
Mitglied: viertelpunkt
Vielen Dank für die Antworten.

Das es größere Risiken als JavaScript gibt ist klar und ob es für Webentwickler eine wichtige Programmiermöglichkeit ist steht auf einen anderen Blatt :) face-smile

Wenn ich mir aber überlege das sich jemand durch ein Script die Dateien auf der Festplatte anschauen kann. Weiß ich nicht ob es nicht ein unterschätztes Sicherheitsrisiko ist.

Auch bezüglich Viren und Trojanern finde ich eure Ansicht ein wenig zu gutgläubig(sorry mir fehlt grad kein anderes wort ein). Muß aber auch zugegeben das ich mir mit JS nicht ganz so gut auskenne und nicht über alle Möglichkeiten die damit in Verbindung stehen informiert bin.

Vielleicht bin ich auch nur ein wenig zu Paranoid.


Danke nochmal für die Antworten

Gruß
viertel
Mitglied: meto
Wie bitteschön soll das mit den Dateien und den Ordner mit JavaScript gehen. Diese Funktionalität ist damit nicht machbar und von den Entwicklern von JS auch nicht gewollt. Auch Viren und Trojaner fängt man sich mittlerweile wohl eher kaum über JavaScript ein. Da gibt es andere Mittel. Deshalb ebend aktuelles Virenprogramm und Firewall.

Mir ist selbstverständlich klar, dass das kein 100%tiger Schutz ist aber ich möchte meinen Rechner benutzen. Ansonsten würde ich ihn ohne jegliches Kabel und ohne Strom in einen Safe stellen.
Mitglied: viertelpunkt
ich weiß nicht ob es heute noch geht, aber als ich mal mit JavaScript ein wenig rumgespielt habe, bin ich auf einige Scripte gestoßen die den Zugriff (ich glaub nur lesend) ermöglicht haben.

Firewall hilft auch nicht wirklich bei Javascript Virenprogramm schon eher. Ich könnte mir höchstens vorstellen das ein Proxy abhilfe schaffen könnte. Aber weiß ich jetzt auch nicht genau.

Und deinen Rechner kannst mit Sicherheit auch ohne JavaScript benutzen (ohne viel Einschränkungen zu haben). Kabel, Strom und Safe ist in dem Fall meiner Meinung nach ein wenig übertrieben. Da gibt es schlimmeres
Mitglied: meto
Also ich kanns mir immer noch nicht vorstellen, es gibt unter JavaScript kein einziges Objekt, dass eine solche funktionalität her gibt. Das funktioniert mit PHP und das aber auch nur Serverseitig.

Und selbst wenn es so währe, hättest du in diesem Fall erst mal nur deine eigenen Daten gesehen. Es obliegt jetzt dem Browser zu verhindern, das diese Daten nicht über Ihn ins Internet versendet werden (alles andere währe eine Sicherheitslücke).

Den Versand o. den Zugriff über einen Trojaner kannst du dann sehrwohl durch Nutzung von aktueller Virensoftware und Firewall verhindern. Dein Proxy würde in diesem Fall auch nichts anderes tun als eine Firewallfunktionalität an den Tag zu legen. Auf den Webseiten enthaltene Viren und Trojaner kommen auch mit Proxy zu dir durch. Was dann auf deinem Rechner passiert, kommt auf deren Vorgehensweise an. Der reine Versand der Daten ist auch bei der Verwendung eines Proxys möglich, wenn dieser nicht richtig konfiguriert ist (genau wie bei einer Firewall).
Mitglied: viertelpunkt
schau dir mal den folgenden link an...

http://www.heise.de/security/dienste/browsercheck/demos/ie/

ist jetzt nicht alles JavaScript, einiges aber schon.
Mitglied: meto
Folgende Maßnahmen sollten bei den Sicherheitslücken Abhilfe schaffen.

- benutze wenn möglichst nicht den IE (alternativ z. B. Firefox)
- nutze immer die aktuellste Version deines Browsers
- spiele möglichst alle Sicherheitspatches ein
- nutze eine Firewall
- nutze ein aktuelles Virenprogramm (entschuldige wenn ich mich wiederhole)

Ansonsten gibt es sicherlich auch genug gründe überhaupt nicht ins Internet zu gehen, weil das BS Sicherheitslücken hat.

Sicherlich ist das Abschalten von JS ein Ausschluss einer Angriffsmöglichkeit. Diese kann man aber durch die benannten Maßnahmen minimieren. Dadurch erhältst du dir aber, wie bereits eingangs erwähnt, die Funktionalität der Webseiten, die oft JS voraussetzen.

Genaugenommen müsstest du z. B. auch verhindern, dass jpg-Bilder im IE angezeigt werden können, da auch hier bereits eine Sicherheitslücken ausgemacht wurden. So setzt sich die Kette dann fort, bis du die HTML-Seiten dann mit nem Texteditor öffnest und die nach dem Studium des Quelltextes vorstellst wie die Seite aussehen könnte.

Mich ärgert an dieser Geschichte eigentlich das es überhaupt solche Idioten gibt, die solche Sicherheitslücken aufdecken um Schaden anzurichten. Das zerstört wie man Sieht das Vertrauen (teilweise sicherlich auch zurecht) ins WWW und macht dieses wichtige Medium kaputt.
Mitglied: viertelpunkt
du magst mit allem was du schreibst recht haben, daß will ich auch gar nicht anzweifeln. Aber auf eine meiner Fragen (die auch eigentlich die wichtigste war) hab ich noch keine Antwort bekommen.

Wie schaut es bei größeren Firmen/Konzernen aus. Ist dort JavaScript aktiviert oder vielleicht nur für Seiten denen vertraut wird?

Es geht mir nicht um meinen Rechner der ist für einen Privatanwender sicher genug. Vorallem geht es mir um eine Firmen-Webseeite die Zulieferer für verschiedene Konzerne ist, sollte auf dieser Seite JavaScript verwendet werden oder nicht.
Heiß diskutierte Beiträge
Router & Routing
Deutsche Glasfaser. NT direkt an pfSense möglich oder besser Kaskade?
fnbaluVor 1 TagFrageRouter & Routing23 Kommentare

Hallo zusammen, am kommenden Mittwoch wird bei mir der Deutsche Glasfaser Anschluss aktiviert. Anfangs wird darüber kein Telefon laufen, aber vielleicht später. Mir stellt sich ...

Notebook & Zubehör
Alt-Laptop Vergleichsmeinungen
winlinVor 1 TagFrageNotebook & Zubehör12 Kommentare

Hallo zusammen Habe zwei Laptops und einen mini pc und würde gerne wissen was ihr zu den beiden Laptops sagt??? Was dürfte ich Max an ...

Batch & Shell
Problem mit einer Batchdatei
stevie72Vor 1 TagFrageBatch & Shell11 Kommentare

Guten Abend zusammen! Ich habe ein problem eine Batch ans laufen zu bekommen. Folgende Problem Stellung: Wir haben etwa 20 Rechner in der Bibliothek. Darauf ...

Firewall
OpenVPN-Problem
gelöst ingorosVor 23 StundenFrageFirewall20 Kommentare

Hallo, habe gestern mit ipfire einen OpenVPN-Server aufgesetzt. Der läuft auch wunderbar. Sowohl Win7, wie auch Win10pro können sich problemlos anmelden. Ein Laptop mit Win10 ...

Windows 10
Remotedesktopzugang mit Openvpn sicher?
LegofrauVor 1 TagFrageWindows 108 Kommentare

Guten Morgen, wie sicher ist es wenn man Remotedesktopzugang durch einen Openvpn Tunnel betreibt? Der Openvpn Tunnel ist mit aktuellen Zertifikaten abgesichert. Der Pc hat ...

Windows Server
AD Replikation zwischen Standorten schlägt fehl nach Level auf 2008R2
diematrix125Vor 1 TagFrageWindows Server14 Kommentare

Hallo zusammen, ich habe ein (mittelschweres?) Problem mit dem AD. Ausgangssituation: Standort A: 3 DCs unter Win 2008R2 Standort B: 1 DC unter Win 2008R2 ...

Windows 10
Win 10 Fehler 0xc000000e und bootmbr fehlt
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Ein guter Kollege von mir kam auf mich zu weil sein PC mit wichtigen Daten nicht mehr läuft. Er hatte laut seinen Aussagen ...

LAN, WAN, Wireless
Gastnetzwerk für Restaurant mit FritzBox 4040
gelöst Net-ZwerKVor 7 StundenFrageLAN, WAN, Wireless11 Kommentare

Moin! Ich soll in einem kleinen Restaurant ein WLAN als Gastnetz einrichten. Aktuell ist vorhanden: Telekom Digitalisierungsbox Premium im Keller (macht ein WLAN, welches der ...