Thomas Mell: (Info) Antwort von der BSI zum Thema Javascript *auweia*

Beitrag lesen

SELF-Forum

(Info) Antwort von der BSI zum Thema Javascript *auweia*

Thomas Mell
Informationen zu den Bewertungsregeln

Hallö Leute
Sicher könnt ihr euch noch an die letzte Pressemitteilung des BSI erinnern (es ging um die Empfehlung Javascipt abzuschalten). Ich habe den Jungs dort dann mal ein Mail geschrieben und habe heute die Antwort bekommen. Es ist schlimmer als ich befürchtet habe.......
Die Pressemitteilung:

BSI warnt vor dem Einsatz von JavaScript

In letzter Zeit wurden in den verbreiteten WWW-Browsern Microsoft Internet Explorer und Netscape Communicator zahlreiche neue Sicherheitslücken entdeckt, die durch aktive Inhalte (ActiveX, JavaScript, Java u.a.) in WWW-Seiten ausgenutzt werden können. So können Angreifer beispielsweise Nutzerkennung mit Passwörtern oder auch lokal gespeicherte Daten von privaten und kommerziellen Internetnutzern ausspionieren. Grund für diese Fehler sind vor allem Programmierfehler - eine risikofreie Implementierung scheint kaum möglich zu sein. Selbst die Browserhersteller haben in diesem Zusammenhang schon dazu geraten, das Ausführen aktiver Inhalte, insbesondere von JavaScript, in den Browsern abzustellen. Da sich der Internet-Nutzer einem kaum einschätzbaren Schadenspotential aussetzt, rät das BSI dringend, bei der Nutzung des Internets auf aktive Inhalte zu verzichten.
Während Java oder ActiveX jedoch nur auf wenigen WWW-Servern Verwendung findet, sind viele WWW-Server heute ohne JavaScript nur noch eingeschränkt darstellbar; sicherheitsbewusste Internet-Nutzer werden so konsequent von deren Angeboten ausgesperrt. Dabei ist JavaScript auf der großen Mehrzahl der WWW-Server nicht notwendig. Meist wird es ausschließlich für optische Spielerein genutzt. Diese WWW-Server könnten mit dem gleichen Funktionsumfang und Informationsangebot ohne JavaScript auskommen. Das BSI empfiehlt deswegen den Betreibern von WWW-Servern dringend, vollständig auf JavaScript zu verzichten oder zumindest für ihre sicherheitsbewussten Kunden Alternativangebote bereitzustellen, die ohne aktive Inhalte dargestellt werden können.

Mein Mail:

Sehr geehrte Damen und Herren,

mit entsetzen mußte ich Ihre unten stehende Pressemitteilung unter
http://www.bsi.de/aktuell/presse/java99.htm lesen. Ohne beleidigend zu
werden, kann ich dazu nur sagen das ich selten von einer Behörde soviel
Unsachgemäße und einfach nur Falsche Angaben gelesen habe.

1. Auf einem WWW-Server werden keine Internetseiten dargestellt,
sondern dieser verschickt diese an einen Browser.
2. Javascript wird eher selten für Spielereien genutzt. Damit werden
viel eher so nützliche Dinge erledigt wie etwa das überprüfen von
Formularfeldern auf Richtigkeit. Für Spielereien werden eher Java-Applets
benutzt, welche technologisch rein gar nichts mit Javascript zu tun haben.
Java-Applets stellen aber in keinster Weise ein Sicherheitsrisiko dar weil
man damit weder Daten lesen oder schreiben kann.
3. Ich kann mir kaum vorstellen (ich habe diesbezüglich trotz Suche
keinen Hinweis gefunden) das ein Browserhersteller dazu rät Javascript zu
deaktivieren. Dagegen spricht auch, das sämtliche Sicherheitslöcher mit den
entsprechenden Updates der Hersteller zu beheben sind. Darauf haben Sie
natürlich nicht hingewiesen.

Ich finde es schon sehr erstaunlich das eine Behörde mit solchen teilweise
falschen Angaben an die Öffentlichkeit tritt und damit viele (ev. fachlich
nicht informierte ) Internetnutzer verunsichert. Wie soll sich denn das
Internet technologisch weiterentwickeln wenn alle dafür benötigten
Bestandteil von der Masse der Internetnutzer aufgrund solcher
Fehlinformationen deaktiviert wird? Da wird eine vage Angst vor dem bösen
Unbekannten geschnürt , zumal der größte Teil der Internetnutzer eh keine
all zu wichtige Daten auf ihren Rechner haben. Und dort wo es auf Sicherheit
ankommt, werden bzw. können andere sehr effektive Maßnahmen ergriffen
werden.

Raten Sie auch allen Menschen dazu Ihren Autoschlüssel aus dem Fenster zu
werfen, da sie mit der Benutzung ihres Autos ein erhöhtes Sicherheitsrisiko
eingehen?

Mit freundlichen Grüßen

Thomas Mell

=================================================

Deren Antwort:
Sehr geehrter Herr Mell,

ich möchte Ihnen raten die Pressemitteilung noch einmal zu lesen, Sie werden
Ihre Aussagen dann selbst in Frage stellen.
Zu den einzelnen Punkten.
1. Ich konnte mir wirklich nicht vorstellen, dass dieser Satz falsch zu verstehen ist. Selbst- verständlich sind Seiten von WWW-Servern gemeint, was m. E. aus dem Zusammenhang klar ist. 2. Ja, es gibt auch sinnvolle Anwendungen von JavaScript. Wie man aber beispielsweise im Aufleuchten einer Schaltfläche beim Überfahren mit der Maus einen Mehrwert sehen kann, kann ich nicht nachvollziehen. Ich werde aber jetzt nicht eine unendliche Liste weiterer Beispiele aufführen. Java bietet übrigens seit einigen Jahren durchaus die Möglichkeit Daten zu lesen und zu  chreiben. Schauen Sie sich am besten einmal auf java.sun.com um, oder lesen Sie die Ococat-Studie des BSI. Weiterhin empfehle ich Ihnen die Lektüre eines guten JavaScript-Buches (z.B. Flanagan: sicher kein JavaScript-kritisches Buch, trotzdem kann man doch gut erkennen, wie es zu den fehlerhaften Implemetierungen kommen konnte).
3. Selbstverständlich entfernen Browser-Hersteller derartige Warnungen wieder von Ihren Web-Seiten, sobald der  eweilige Bug-Fix veröffentlicht wird. In den Archiven der Newsticker (z.B. Heise oder Ziff-Davis) bleiben sie aber  rhalten, vielleicht sollten Sie mal die bemühen. Die Erfahrung hat übrigens gezeigt, dass zwar die entdeckten Sicherheitslöcher relativ schnell geschlossen werden, es aber meist nicht lange dauert, bis das nächste entdeckt wird.
Um in Ihrem Bild zu bleiben: Wir würden selbstverständlich davor warnen, den Autoschlüssel einfach stecken zu lassen.

Mit freundlichen Grüßen

=======================================================
Und meine Antwort die ich geschrieben habe:

Hallo Herr Wolf,
und weiter geht es.....

<<<<<<Sehr geehrter Herr Mell,
ich möchte Ihnen raten die Pressemitteilung noch einmal zu lesen, Sie werden
Ihre Aussagen dann selbst in Frage stellen.
Zu den einzelnen Punkten.
1. Ich konnte mir wirklich nicht vorstellen, dass dieser Satz falsch zu
verstehen ist. Selbst-verständlich sind Seiten von WWW-Servern gemeint, was m. E. aus dem Zusammenhang
klar ist.>>>>>>>>

Ich zitiere aus Ihrer Pressemitteilung: „...sind viele WWW-Server heute ohne JavaScript nur noch eingeschränkt darstellbar..." Wie bitte soll man einen WWW-Server darstellen, außer er steht neben einem?

<<<<<......Java bietet übrigens seit einigen Jahren durchaus die
Möglichkeit Daten zu lesen und zu schreiben. Schauen Sie sich am besten einmal auf
java.sun.com um, oder lesen Sie die Ococat-Studie des BSI. Weiterhin empfehle ich Ihnen
die Lektüre eines guten JavaScript-Buches (z.B. Flanagan: sicher kein
JavaScript-kritisches Buch, trotzdem kann man doch gut erkennen, wie es zu den fehlerhaften
Implemetierungen kommen konnte).>>>>>

Ich programmiere schon länger mit Java, Javascript und VBScript und werde diese Bücher nicht mehr benötigen und die Homepage von Sun kenne ich auch aus dem FF. Und was in einer Studie der BSI steht, kann ich mir schon anhand Ihrer Pressemitteilung vorstellen. Natürlich kann man mit Java Daten lesen und schreiben, aber nur wenn Java auf einem Server läuft und auch nur dort
. Dies geht übrigens auch mit Perl und C++ im Zusammenhang mit CGI oder auch mit VBScript zusammen mit ASP (Aktive Server Pages von Microsoft). Java, welches in Java-Applets (und damit auf Web-Seiten) läuft können dies NICHT, genau so wenig wie Javascript. Wenn es anders sein sollte, dann erbringen sie mir den Beweis dafür. Außerdem sollten sie nicht Java und Javascript im gleichen Zusammenhang benutzen, das eine hat mit dem Anderen absolut gar nichts zu tun, sie stammen nicht einmal von der gleichen Firma (Javascript stammt von Netscape). Nur mal zur Info: Java ist eine "richtige" Programmiersprache, genau wie C++ oder Basic. Die in Java geschriebenen Programme können zum einen auf einen Server laufen und Internetseiten (ab nun HTML-Seiten genannt) „künstlich" erzeugen oder Daten von einen Internet-Nutzer (ab nun Client genannt) empfangen (Formulare) und dies weiterverarbeiten. Diese Daten kann er nun auf dem Server speichern und /oder in eine neue HTML-Seite einbauen und/oder an den Client zurückschicken. Hiermit wird beim Client nicht die geringste dynamische Aktion ausgelöst, dies geschieht beim Server. Und zum anderen können Java-Programme auch in sogenannten Java-Applets eingebaut werden. Diese Programme sind compiliert  (die auf dem Server auch) und befinden sich in einer .class Datei. Diese Datei wird nun in eine HTML-Seite eingebunden und kann dort (beim Client) ausgeführt werden. Der große Unterschied zwischen Applets und Java-Anwendungen auf der Serverseite besteht darin das Applets keine Daten von dem Rechner des Clienten Lesen oder Schreiben kann, sondern nur auf dem Server von dem es geladen wurde. Somit besteht in keinster weise ein Sicherheitsproblem für den Clienten.
Dagegen ist Javascript eine „offene" Programmiersprache (wenn sich auch manche Leute darüber streiten ob es überhaupt eine ist) deren Quellcode jeder lesen kann (steht unverschlüsselt in dem Quelltext der HTML-Seite) und überhaupt keine Befehle zum lesen und schreiben von Daten besitzt. Und die paar Lücken die eh keiner kennt, haben bis heute noch keinen Schaden angerichtet (siehe unten).

<<<<<<<3. Selbstverständlich entfernen Browser-Hersteller derartige Warnungen
wieder von Ihren Web-Seiten, sobald der jeweilige Bug-Fix veröffentlicht wird. In den
Archiven der Newsticker (z.B. Heise oder Ziff-Davis) bleiben sie aber erhalten<<<<<<<

Gut das sie Ziff-Davis erwähnen, lesen sie doch bitte einmal in der neuen Ausgabe (12/99) Seite 27 die Stellungnahme zu Ihrer Pressemitteilung. Dort Steht:

Surfer leben gefährlich:
Die dramatische Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI, www.bsi.de) vor dem Einsatz von Javscript hat bei Experten Erstaunen ausgelöst. Das Amt rät „dringend, bei der Nutzung des Internet auf aktive Inhalte zu verzichten", da sich der Internet-Nutzer „einem kaum einschätzbaren Schadenspotential" aussetze. Javascript werde sowieso meist" ausschließlich  für optische Spielereien  genutzt. Auch wenn Bugjäger Georgi Guninski gerade die 13. Sicherheitslücke im Internet Explorer aufgedeckt hat scheint der Radschlag des BSI doch ziemlich übertrieben. Schließlich ist bis jetzt noch kein einziger ernsthafter Hackerangriff bekannt geworden, der die Schwächen von Javascript genutzt hätte,

Dazu muß ich wohl nichts mehr sagen...

Mit freundlichen Grüßen
Thomas Mell

Beitrag melden
Informationen zu den Bewertungsregeln
0 23

(Info) Antwort von der BSI zum Thema Javascript *auweia*

Thomas Mell
  1. 0
    kaepten
  2. 0
    Swen
  3. 0
    Stefan Falz
    1. 0
      Stefan Falz
  4. 0
    Hartmut
  5. 0
    Thomas J.S.
    1. 0
      Thomas Hieck
  6. 0

    ---noch ein Gedicht...

    Reiner
    1. 0
      Thorhall
      1. 0
        Reiner
        1. 0
          Hartmut
        2. 0
          Thorhall
  7. 0

    Javascript ist doch nur Spielerei (?)

    Chräcker Heller
    1. 0
      Swen
    2. 0
      Marko
    3. 0
      Thomas Mell
    4. 0
      Reiner
  8. 0
    Antje Hofmann
    1. 0
      Martin Speiser
  9. 0
    Kilian Mueller
    1. 0
      Thomas J.S.
      1. 0
        Kilian Mueller