Hallo Leute,
ich habe schon die zweite Antwort von der BSI erhalten. Da kann ich nur eins sagen: dumm, dümmer, blöd, BSI
Am besten finde ich ja den Spruch mit den Steuerzahlern, eine noch blödere Ausrede gibt es nun wirklich nicht. Typisch Beamter, wenn ich keine Ahnung habe dann verstecke ich mich hinter dem Steuerzahler...Ab heute werde ich jedenfalls keine mehr zahlen *lol*.

Sehr geehrter Herr Mell,

Ich zitiere aus Ihrer Pressemitteilung: "...sind viele WWW-Server heute ohne  JavaScript nur noch eingeschränkt darstellbar..."

Wie bitte soll man einen WWW-Server darstellen, außer er steht neben einem?

Mit verlaub: Man muss sich schon ziemlich anstrengen, dies misszuverstehen.

---Er bestimmt *g*

Ich programmiere schon länger mit Java, Javascript und VBScript und werde
diese Bücher nicht mehr benötigen und die Homepage von Sun kenne ich auch
aus dem FF. Und was in einer Studie der BSI steht, kann ich mir schon

anhand  Ihrer Pressemitteilung vorstellen. Natürlich kann man mit Java Daten lesen

Interessant, was soll ich da schon zu schreiben. Informieren Sie sich über
die Erweiterungen in Java 1.2 (oder war es schon 1.1?) und über die
Erweiterungen von JavaScript, die Netscape mit der Version 4 ihres Browsers eingebaut hat.
Sie werden feststellen, dass Ihnen ein paar Informationen über die Mächtigkeit
dieser Sprachen fehlen. Übrigens werden dafür digitale Signaturen benötigt.

und schreiben, aber nur wenn Java auf einem Server läuft und auch nur dort
. Dies geht übrigens auch mit Perl und C++ im Zusammenhang mit CGI oder

auch mit VBScript zusammen mit ASP (Aktive Server Pages von Microsoft). Java,

welches in Java-Applets (und damit auf Web-Seiten) läuft können dies

NICHT, genau so wenig wie Javascript. Wenn es anders sein sollte, dann erbringen

sie mir den Beweis dafür. Außerdem sollten sie nicht Java und Javascript im

Das kann ich gerne tun, nur ist nicht einzusehen, dass der Steuerzahler
das zu finanzieren hat.

--- Um eine dusselige Pressemiteilung zu schreiben haben die ja auch Geld.

gleichen Zusammenhang benutzen, das eine hat mit dem Anderen absolut gar
nichts zu tun, sie stammen nicht einmal von der gleichen Firma (Javascript

C und PL/1 sind Programmiersprachen. Ist das falsch?

stammt von Netscape). Nur mal zur Info: Java ist eine "richtige"
Programmiersprache, genau wie C++ oder Basic. Die in Java geschriebenen
Programme können zum einen auf einen Server laufen und Internetseiten (ab
nun HTML-Seiten genannt) "künstlich" erzeugen oder Daten von einen
Internet-Nutzer (ab nun Client genannt) empfangen (Formulare) und dies
weiterverarbeiten. Diese Daten kann er nun auf dem Server speichern und
/oder in eine neue HTML-Seite einbauen und/oder an den Client
zurückschicken. Hiermit wird beim Client nicht die geringste dynamische
Aktion ausgelöst, dies geschieht beim Server. Und zum anderen können
Java-Programme auch in sogenannten Java-Applets eingebaut werden. Diese
Programme sind compiliert (die auf dem Server auch) und befinden sich in
einer .class Datei. Diese Datei wird nun in eine HTML-Seite eingebunden

und kann dort (beim Client) ausgeführt werden. Der große Unterschied zwischen

Applets und Java-Anwendungen auf der Serverseite besteht darin das Applets
keine Daten von dem Rechner des Clienten Lesen oder Schreiben kann,

sondern nur auf dem Server von dem es geladen wurde. Somit besteht in keinster
weise ein Sicherheitsproblem für den Clienten.  Dagegen ist Javascript eine "offene" Programmiersprache (wenn sich auch manche Leute darüber streiten ob es überhaupt eine ist) deren Quellcode

Ich würde es eher eine zu interpretierende Programmiersprache nennen.

---Mach was du willst, aber Ahnung hast du trotzdem keine

jeder lesen kann (steht unverschlüsselt in dem Quelltext der HTML-Seite)

und überhaupt keine Befehle zum lesen und schreiben von Daten besitzt. Und die

paar Lücken die eh keiner kennt, haben bis heute noch keinen Schaden angerichtet (siehe unten).

Als das BSI vor etlichen Jahren vor Makro-Viren warnte, waren die Reaktionen
übrigens genauso. Warum wird man immer nur aus Schaden klug. Da offensichtlich
kaum bekannt ist, dass es Lücken gibt, ist die Meldung um so wichtiger.

---Ohhh jetzt retten wir uns zu den Viren, passt ja voll der Zusammenhang

Surfer leben gefährlich:
Die dramatische Warnung des Bundesamt für Sicherheit in der
Informationstechnik (BSI, www.bsi.de) vor dem Einsatz von Javscript hat

bei Experten Erstaunen ausgelöst. Das Amt rät "dringend, bei der Nutzung des

Internet auf aktive Inhalte zu verzichten", da sich der Internet-Nutzer
"einem kaum einschätzbaren Schadenspotential" aussetze. Javascript werde
sowieso meist" ausschließlich für optische Spielereien genutzt. Auch

wenn Bugjäger Georgi Guninski gerade die 13. Sicherheitslücke im Internet

Explorer aufgedeckt hat scheint der Radschlag des BSI doch ziemlich
übertrieben. Schließlich ist bis jetzt noch kein einziger ernsthafter
Hackerangriff bekannt geworden, der die Schwächen von Javascript genutzt
hätte,

Es sind Ratschläge. Ich lese die PC Pro. nicht. Diese Meldung stärkt mich in
dieser Meinung. Ich meinte den zugehörigen Newsticker.

----Solltest du aber lesen, dann währst du mal ne Menge schlauer und währst deine Besoldungsstufe wert.

AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA AUA

MfG
S. Wolf

Dr. Stefan Wolf BSI - Bundesamt für Sicherheit in der Informationstechnik
Referat V 7: Sicherheit im Internet und Intranet
Postfach 20 03 63, D-53133 Bonn
E-Mail: wolf@bsi.de - Tel.: ++49/228/9582-306 - Fax: ++49/228/9582-427