Hallo Stefan, hallo HTML'ler!
A signed script "...requires processing your JavaScript file(s) with Netscape Object Signing Tools to sign the files and then sourcing the archive with the new ARCHIVE and ID attributes of the <SCRIPT> HTML tag. Signed JavaScript has extended capabilities for cases where user security or user control may be compromised."
Alles klar? Nicht? Macht nix, bei mir auch nicht. Vielleicht kann ja jemand mal ganz klar und idiotensicher erklaeren...
ok... ich hab zwar noch nie mit signed Javascripts gearbeitet, aber ich
versuch's mal... (daher -> ohne absolute Gewähr...)
In normalen JavaScripts gibt es viele Dinge, die man zwecks Sicherheit
nicht tun kann (z.B. Dateien anlegen oder auch z.B. die Statusleiste manipulieren).
Will man diese Sicherheitsvorkehrungen umgehen, ist es offensichtlich günstig,
zumindest genau zu wissen,
von wem das Skript kommt, es sei denn, man spielt gerne russisches Roulette...
<aushol...>
Bei Verschlüsselungsprogrammen wie z.B. PGP kann man dies mit sogenannten
Signaturen machen, indem man mit seinem 'secret key' und dem Text von einer
Nachricht eine Checksumme bildet.
Die Nachricht wird dann mit der Signatur versehen und kann dann z.B. als
"elektronisch unterschriebene" e-mail versendet werden.
Anhand des public-key's
(für jedermann öffentlich, siehe z.B. http://math-www.uni-paderborn.de/pgp/)
kann nun von jedem, der das PGP-Programm hat, die Authentizität der
email überprüft werden - wird am Text auch nur ein Zeichen verändert,
stimmt die Checksumme nicht mehr...
Da die Checksumme nur mit dem privaten 'secret key' korrekt erzeugt werden kann,
dürfte eine elektronische Unterschrift deutlich schwerer zu fälschen sein,
als eine handschriftliche.
</aushol...>
Bei JavaScript gibt es einen ähnlichen Mechanismus für Scripte.
Damit bestimmte Funktionen aktiviert werden, die normalerweise aus
Sicherheitsgründen gesperrt sind, muß jemand diese Skripte signieren
(genaueres hierzu unter
http://developer.netscape.com/docs/manuals/js/client/jsguide/sec.htm#1015075)
und der Urheber des Skriptes jederzeit für andere eindeutig
nachprüfbar sein.
Ich hoffe, jetzt habe ich alle Klarheiten beseitigt ;-))
Viele Grüße!
Andreas