Thomas Mell: BSI die Zweite AUUUUUUUA

Hallo Leute,
ich habe schon die zweite Antwort von der BSI erhalten. Da kann ich nur eins sagen: dumm, dümmer, blöd, BSI
Am besten finde ich ja den Spruch mit den Steuerzahlern, eine noch blödere Ausrede gibt es nun wirklich nicht. Typisch Beamter, wenn ich keine Ahnung habe dann verstecke ich mich hinter dem Steuerzahler...Ab heute werde ich jedenfalls keine mehr zahlen *lol*.

Sehr geehrter Herr Mell,

Ich zitiere aus Ihrer Pressemitteilung: "...sind viele WWW-Server heute ohne  JavaScript nur noch eingeschränkt darstellbar..."

Wie bitte soll man einen WWW-Server darstellen, außer er steht neben einem?

Mit verlaub: Man muss sich schon ziemlich anstrengen, dies misszuverstehen.

---Er bestimmt *g*

Ich programmiere schon länger mit Java, Javascript und VBScript und werde
diese Bücher nicht mehr benötigen und die Homepage von Sun kenne ich auch
aus dem FF. Und was in einer Studie der BSI steht, kann ich mir schon

anhand  Ihrer Pressemitteilung vorstellen. Natürlich kann man mit Java Daten lesen

Interessant, was soll ich da schon zu schreiben. Informieren Sie sich über
die Erweiterungen in Java 1.2 (oder war es schon 1.1?) und über die
Erweiterungen von JavaScript, die Netscape mit der Version 4 ihres Browsers eingebaut hat.
Sie werden feststellen, dass Ihnen ein paar Informationen über die Mächtigkeit
dieser Sprachen fehlen. Übrigens werden dafür digitale Signaturen benötigt.

und schreiben, aber nur wenn Java auf einem Server läuft und auch nur dort
. Dies geht übrigens auch mit Perl und C++ im Zusammenhang mit CGI oder

auch mit VBScript zusammen mit ASP (Aktive Server Pages von Microsoft). Java,

welches in Java-Applets (und damit auf Web-Seiten) läuft können dies

NICHT, genau so wenig wie Javascript. Wenn es anders sein sollte, dann erbringen

sie mir den Beweis dafür. Außerdem sollten sie nicht Java und Javascript im

Das kann ich gerne tun, nur ist nicht einzusehen, dass der Steuerzahler
das zu finanzieren hat.

--- Um eine dusselige Pressemiteilung zu schreiben haben die ja auch Geld.

gleichen Zusammenhang benutzen, das eine hat mit dem Anderen absolut gar
nichts zu tun, sie stammen nicht einmal von der gleichen Firma (Javascript

C und PL/1 sind Programmiersprachen. Ist das falsch?

stammt von Netscape). Nur mal zur Info: Java ist eine "richtige"
Programmiersprache, genau wie C++ oder Basic. Die in Java geschriebenen
Programme können zum einen auf einen Server laufen und Internetseiten (ab
nun HTML-Seiten genannt) "künstlich" erzeugen oder Daten von einen
Internet-Nutzer (ab nun Client genannt) empfangen (Formulare) und dies
weiterverarbeiten. Diese Daten kann er nun auf dem Server speichern und
/oder in eine neue HTML-Seite einbauen und/oder an den Client
zurückschicken. Hiermit wird beim Client nicht die geringste dynamische
Aktion ausgelöst, dies geschieht beim Server. Und zum anderen können
Java-Programme auch in sogenannten Java-Applets eingebaut werden. Diese
Programme sind compiliert (die auf dem Server auch) und befinden sich in
einer .class Datei. Diese Datei wird nun in eine HTML-Seite eingebunden

und kann dort (beim Client) ausgeführt werden. Der große Unterschied zwischen

Applets und Java-Anwendungen auf der Serverseite besteht darin das Applets
keine Daten von dem Rechner des Clienten Lesen oder Schreiben kann,

sondern nur auf dem Server von dem es geladen wurde. Somit besteht in keinster
weise ein Sicherheitsproblem für den Clienten.  Dagegen ist Javascript eine "offene" Programmiersprache (wenn sich auch manche Leute darüber streiten ob es überhaupt eine ist) deren Quellcode

Ich würde es eher eine zu interpretierende Programmiersprache nennen.

---Mach was du willst, aber Ahnung hast du trotzdem keine

jeder lesen kann (steht unverschlüsselt in dem Quelltext der HTML-Seite)

und überhaupt keine Befehle zum lesen und schreiben von Daten besitzt. Und die

paar Lücken die eh keiner kennt, haben bis heute noch keinen Schaden angerichtet (siehe unten).

Als das BSI vor etlichen Jahren vor Makro-Viren warnte, waren die Reaktionen
übrigens genauso. Warum wird man immer nur aus Schaden klug. Da offensichtlich
kaum bekannt ist, dass es Lücken gibt, ist die Meldung um so wichtiger.

---Ohhh jetzt retten wir uns zu den Viren, passt ja voll der Zusammenhang

Surfer leben gefährlich:
Die dramatische Warnung des Bundesamt für Sicherheit in der
Informationstechnik (BSI, www.bsi.de) vor dem Einsatz von Javscript hat

bei Experten Erstaunen ausgelöst. Das Amt rät "dringend, bei der Nutzung des

Internet auf aktive Inhalte zu verzichten", da sich der Internet-Nutzer
"einem kaum einschätzbaren Schadenspotential" aussetze. Javascript werde
sowieso meist" ausschließlich für optische Spielereien genutzt. Auch

wenn Bugjäger Georgi Guninski gerade die 13. Sicherheitslücke im Internet

Explorer aufgedeckt hat scheint der Radschlag des BSI doch ziemlich
übertrieben. Schließlich ist bis jetzt noch kein einziger ernsthafter
Hackerangriff bekannt geworden, der die Schwächen von Javascript genutzt
hätte,

Es sind Ratschläge. Ich lese die PC Pro. nicht. Diese Meldung stärkt mich in
dieser Meinung. Ich meinte den zugehörigen Newsticker.

----Solltest du aber lesen, dann währst du mal ne Menge schlauer und währst deine Besoldungsstufe wert.

AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA

MfG
S. Wolf

Dr. Stefan Wolf BSI - Bundesamt für Sicherheit in der Informationstechnik
Referat V 7: Sicherheit im Internet und Intranet
Postfach 20 03 63, D-53133 Bonn
E-Mail: wolf@bsi.de - Tel.: ++49/228/9582-306 - Fax: ++49/228/9582-427

  1. Hallo Thomas,

    bei allem Verstaendnis fuer deinen Aerger ueber BSI und die JavaScript-Sache (ich kann den Aerger wirklich nachvollziehen, weil ich seinerzeit den Thread <../../sfarchiv/1999_4/t07434.htm> selber angeleiert habe): aber allmaehlich verstoesst dein Vorgehen hier gegen den guten Geschmack selbst der haerteren Internetter! Es ist einfach nicht fair, persoenliche Mails zu sammeln und diese anschliessend mit Absender hemmungslos in einem oeffentlichen Forum "zur Schau zu stellen". Du solltest wissen, dass so etwas gegen die Netiquette verstoesst - und das auch, wenn der Inhalt der Mail noch so bescheuert ist. Zitieren ja, aber wenn, dann anonym bitte! Oder dem Absender vorher ankuendigen, dass du seine Antwortmail bereit bist oeffentlich zu posten. Jedenfalls sollten die eine Chance haben zu erkennen, wann sie nur dir antworten, und wann ihr Zeugs von allen moeglichen Leuten gelesen wird. OK?

    viele Gruesse
      Stefan Muenz

    1. Jedenfalls sollten die eine Chance haben zu erkennen, wann sie nur dir antworten, und wann ihr Zeugs von allen moeglichen Leuten gelesen wird. OK?

      vorausgesetzt, sie können wenigstens das :)

    2. Es ist einfach nicht fair, persoenliche Mails zu sammeln und diese anschliessend mit Absender hemmungslos in einem oeffentlichen Forum "zur Schau zu stellen". Du solltest wissen, dass so etwas gegen die Netiquette verstoesst <<<<

      Kann Dir nur voll und ganz zustimmen.

      Außerdem: das "Grundschutzhandbuch des BSI" ist nicht die schlechteste Lektüre für Sicherheitsbewußte. Daß da ein BSI Mitarbeiter beim Scripting-Thema über's Ziel hinausgeschossen ist erachte ich als einen Ausrutscher.

      meine - allgemeine - Meinung über das Beamtentum in der BRD (Beamten-Republik Deutschland) gebe ich besser nicht zum Besten  .. das verstößt nicht nur gegen die Netiquette ;-)

    3. Hallo Stefan,
      hast ja recht, aber ich habe mich dermaßen über diesen sch... aufgeregt das ich nicht anders konnte. Da ist wohl mein Temperament mit mir durchgegangen. Jedenfalls habe ich den netten und hochgebildeten Leuten vom BSI ein Mail geschickt um sie über diese Veröffentlichung zu informieren. Also schimpft los ihr lieben *g* damit die was zum lesen haben....
      Nochmals Sorry für den Ausrutscher, werde das nächste mal erst kalt duschen gehen und dann so ein Mist schreiben *lol*.

      Grüße
      Thomas

      PS: das der Absender mit drin war ist keine Absicht gewesen, hat sich wohl beim kopieren eingeschlichen....

      1. Hallo Thomas,

        Nochmals Sorry für den Ausrutscher, werde das nächste mal erst kalt duschen gehen und dann so ein Mist schreiben *lol*.

        Keine Bange, diesen Rueffel hast du von jemandem bekommen, der selber auch schon gegen diese Regel verstossen hat (und dafuer einen Rueffel erhalten hat <g>) - nobody's perfect!

        viele Gruesse
          Stefan Muenz

        1. Moin Stefan,

          grundsätzlich gebe ich Dir recht, aber:

          Wenn sich der Staat, genauer genommen die Exekutive, an einen Bürger wendet, ist das IMHO nur solange nicht öffentlich, wie es der Empfänger will. Es schrieb ja nicht die (private) Person Herr X an Bürger M, sondern die (öffentliche) Behörde, in deren _Auftrag_ oder _Vertretung_ der Unterzeichner handelt (mal abgesehen davon, dass das BSI mit Sicherheit nie behaupten wird, dass eine email "sicher" ist).
          Eine Veröffentlichung (m)eines Schriftverkehr mit einer Behörde ist IMHO deshalb grundsätzlich möglich. Mit der wichtigen Einschränkung, dass sich die Kritik _nie_ gegen den Unterzeichner richten darf, denn umgekehrt gilt natürlich auch: Nicht er, sondern die Behörde, muss Empfänger der Kritik sein

  2. Hallo,

    der Satz:

    "...sind viele WWW-Server heute ohne  JavaScript nur noch eingeschränkt darstellbar..."

    ist mir von Anfang aufgestossen. Diesen in sich vollkommen sinnlosen Satz zu schreiben, und dann nacher mit einer ziemlichen aroganten Art zu sagen "stellt Euch nicht so an, Ihr wißt doch was ich in Wirklichkeit meine", und das auch noch von einem Posten aus, der von uns bezahlt wird (nicht vergessen, er ist unser Angestellter) empfinde ich als zumindest befremdlich....

    Wir bezahlen diese Stelle, und auch andere schließen von der Qualität dieser Aussage auf die übrige Qualität einer vielleicht ja doch sinnvollen Arbeit. Da sollte man nach so einem Ausrutscher etwas leiser auftreten. (oder man bestätigt mir, daß die Qualitätsschlußfolgerung gerechtfertigt ist....)

    Chräcker