Hi,
zumindest auf die Frage mit dem JavaScript habe ich eine Antwort:
Es ist zwar kein Risikofaktor aber durchaus des öfteren nervend.
Denn z.B. werden durch JavaScript PopUps geöffnet und die k****n mich einfach nur an.

Ciao
JankoW

Hallo Igel,

ein nettes Thema, finde ich, 'mal was anderes.

• warum werden Browser nicht mit zusätzlichen Schriftarten ausgeliefert, es gibt doch so viele Gratisschriften, kann es angehen, dass sämtliche Webdesigner immer noch mit Times und Arial (und Derivaten) auskommen müssen. Es hat so viele Verschlimmbesserungen bei Browsern gegeben, um Designern mehr Möglichkeiten zu bieten. Mir würde schon eine Schriftart reichen, von der ich wüsste, dass Sie ab einer bestimmten Version eines Browsers als gegeben vorausgesetzt werden kann.

Das hat mehrere Gruende. Als allererstes wuerde ich einfach mal die Lizenzprobleme sehen. Vernuenftige Schriftarten
sind meistens eben nicht frei, sie kosten sogar ein ganzen Haufen Geld. Das kann kein Browserhersteller bezahlen,
und wenn er welche selbst machen wuerde, dann haette er sicher keine Lust, die kostenlos an andere Browserhersteller
zu verschenken.

Als zweites fallen mir noch die technischen Probleme ein. Ein Mac kann mit Truetype Schriftarten nichts anfangen,
ein XFree < 4.0 auch nicht. Genausowenig kann ein Windows-Rechner ohne ATM nichts mit PostScript Fonts anfangen.
Und dazu muss man noch bedenken, dass das Web eigentlich groessere Ausmasse haben sollte, als IE, Netscape, Win,
Mac und *nix. Eine Seite sollte also _immer_ ohne spezielle Fonts auskommen. (Denke einfach mal an Handhelds
mit kleinem Display, Consolen-Browser auf Terminals usw.)

-warum kann man Schriftgrößen in einem Browser separat größer stellen, obwohl Menschen mit Sehproblemen die Schriftarten unter Windows beispielsweise generell größer stellen können. Ich kenne kein anderes Programm als einen Browser, in dem man einfach so das Design desjenigen verstellen kann, der das Programm, oder den Informationsinhalt, gestaltet hat.

Wenn Du deine Schriften in px angibst, hat die in Windows eingestellte Groesse absolut keinen Einfluss mehr auf
die tatsaechliche Groesse im Browser (die Schriftvergroesserung im Netscape allerdings schon). Ausserdem finde
ich es gut, wenn einem der Text aus irgendeinem Grund mal zu klein ist, mit einer Tastenkombination kurz groesser
zu schalten, und das genauso schnell wieder rueckgaengig zu machen - ganz ohne Menues und Reboots.

-warum kann man überhaupt Javascript im Browser deaktivieren, wenn jeder sagt, dass es kein Sicherheitsrisiko dabei gibt. Oder gibt es eins?

Ich finde, dass man in den Browsern ueberhaupt noch viel zu wenig Einstellungsmoeglichkeiten hat.
Weisst Du, was man mit JavaScript alles anfangen kann? Selbst ohne irgendwelche "Sicherheitsluecken" auszunutzen.
Das mindeste, was man machen kann, ist, den Browser zum Absturz bringen - und das wird man mit einer clientseitigen
Skriptsprache auch immer tun koennen ( while (1) { komplexe mathematische operation();}).

Grundsaetzlich wuerde ich sagen, dass Du einfach mit einem breiteren Blickwinkel an die Geschichte rangehen
solltest. Es gibt nicht nur 2 oder 3 Browser, nicht nur 2 oder 3 Betriebssysteme. Das Internet soll global sein,
nicht nur geographisch sondern auch technologisch.

Das verstehen IMHO leider viel zu wenige Leute, auch genug von denjenigen, die eine gewisse Verantwortung fuer
das Netz haben sollten.

Schuesschen,
Gero

Hi,

• Mir würde schon eine Schriftart reichen, von der ich wüsste, dass Sie ab einer bestimmten Version eines Browsers als gegeben vorausgesetzt werden kann.

dies ist gegeben bei 'serif', 'sans-serif' und 'monospaced'.

-warum kann man Schriftgrößen in einem Browser separat größer stellen, obwohl Menschen mit Sehproblemen die Schriftarten unter Windows beispielsweise generell größer stellen können.

Warum soll man nicht für einzelne Programme einstellen können, wie deren spezieller Inhalt dargestellt werden soll? Viele Programme haben beispielsweise nur wenig Fließtext und dafür mehr Symbole, so daß man dort die Schrift kleiner stellen könnte, weil sie nicht den wesentlichen Informationsgehalt hat.

-warum kann man überhaupt Javascript im Browser deaktivieren, wenn jeder sagt, dass es kein Sicherheitsrisiko dabei gibt. Oder gibt es eins?

Klar: Das Risiko, daß der Browser bei miserabel gemachten Seiten abstürzt; und derer gibt es viele. Außerdem das Risiko, daß bei gewissen Seiten hunderte Fenster aufpoppen; und das Risiko, daß es Leute nervt. Nebenbei noch das Risiko, daß ein Webmaster bewußt Informationen verschleiert ('window.status' et.al.), was eigentlich unter "nerven" fällt.

Ich finde, Programme gleich welcher Art sollten bis ins Detail konfigurierbar sein. Letztlich ist es doch Sache des Benutzers, was er möchte und was nicht - niemand kann das vorher wissen; nicht der Programmierer, und schon gar nicht der Seitenersteller bzw. Informationslieferant. Mir hat selbst Opera noch zu wenig Einflußmöglichkeiten, und dort kann man schon verflucht viel konfigurieren.

Cheatah

Moinmoin Igel!

• warum werden Browser nicht mit zusätzlichen Schriftarten ausgeliefert, es gibt doch so viele Gratisschriften, kann es angehen, dass sämtliche Webdesigner immer noch mit Times und Arial (und Derivaten) auskommen müssen. Es hat so viele Verschlimmbesserungen bei Browsern gegeben, um Designern mehr Möglichkeiten zu bieten. Mir würde schon eine Schriftart reichen, von der ich wüsste, dass Sie ab einer bestimmten Version eines Browsers als gegeben vorausgesetzt werden kann.

Im Moment sind mehrere Lösungsansätze für dieses Problem (falls man das überhaupt als Problem bezeichnen kann <g/>) da, die den Gestalter Schriftarten in die Website einbetten lassen, siehe dazu auch </selfhtml/tdcb.htm>.

[...] in dem man einfach so das Design desjenigen verstellen kann, der das Programm, oder den Informationsinhalt, gestaltet hat.

Damit wären wir wieder bei der Trennung von Design und Content. Seit HTML 4 bemüht man sich, "back to the roots" zu gehen, also HTML wieder in die Richtung weiterzuentwickeln, die dem Ursprungsgedanken (siehe http://www.w3.org/MarkUp/#historical - Geschichtliches rund um HTML) entspricht, nämlich Hypertexte strukturiert darzustellen. Mit der Einführung von CSS versucht man z.B. alles, was nicht zur Dokumentstruktur, also zum Layout gehört, aus der eigentlichen Dokumentstruktur zu lösen und auszulagern, um die Hypertexte unabhängig von Browser und verwendeter Hardware darstellen zu können - sei das jetzt durch Anzeige auf einem Monitor oder z.B. auch vorgelesen. Wenn ein Webdesigner (oder wie man das jetzt nennen soll, siehe auch </selfaktuell/forum/?m=123021&t=23653> <g/>) daher darauf achtet, seine Seiten auch geräteunabhängig zu gestalten, dann stört es auch keinen mehr, wenn der Benutzer bei sich die Schriftgröße verstellt.

Moin

ich wüsste gerne einmal eure Meinung [...]

und ich deinen Namen, so schlimm ist er doch nicht, oder? :-9

-  Mir würde schon eine Schriftart reichen, von der ich wüsste, dass Sie ab einer bestimmten Version eines Browsers als gegeben vorausgesetzt werden kann.

Und die auf jedem Ausgabegerät (Palm etc) installiert ist? Du solltest dir die Entstehungsgeschichte des Ganzen vergegenwärtigen: Der Trick war, dass Transport (und Darstellung) weitestgehend hardwareunabhängig stattfinden sollte. Ein Maximum an Erreichbarkeit.

Ich kenne kein anderes Programm als einen Browser, in dem man einfach so das Design desjenigen verstellen kann, der das Programm, oder den Informationsinhalt, gestaltet hat.

Geht in Word oder jedem anderen, besseren Textverarbeitungsprogramm auch. So einzigartig intelligent sind browser nun auch nicht :-)  Aber ich kenne kein Programm, dass so schnell Sünden bein Design entlarvt, denn: www ungleich dtp.

-warum kann man überhaupt Javascript im Browser deaktivieren, wenn jeder sagt, dass es kein Sicherheitsrisiko dabei gibt. Oder gibt es eins?

Such mal im Archiv nach BSI :-). Wichtiger ist aber das, was Hajo sagte. Denke doc h mal anders herum. Es kann sein, dass javaskript aktiviert ist. Mehrheitsverhältnisse sind dabei und dannn irrelevant.

Vielen Dank an alle, die bisher gepostet haben!

ich wüsste gerne einmal eure Meinung [...]
und ich deinen Namen, so schlimm ist er doch nicht, oder? :-9

Henric heiß ich, nichts für ungut, ich wollte nicht unhöflich sein.

ein nettes Thema, finde ich, 'mal was anderes.

Ich hoffe, das war nicht ironisch gemeint. Es gab sicherlich schon einiges an Beiträgen zu ähnlichen Themen.

Grundsaetzlich wuerde ich sagen, dass Du einfach mit einem breiteren Blickwinkel an die Geschichte rangehen
solltest. Es gibt nicht nur 2 oder 3 Browser, nicht nur 2 oder 3 Betriebssysteme. Das Internet soll global sein,
nicht nur geographisch sondern auch technologisch.

Yep, das ist auch der Grund warum ich gefragt habe. Ich bin eher einer von der kritischen aber belehrbaren Sorte, ich brauche nur gute Argumente.

Ich finde, Programme gleich welcher Art sollten bis ins Detail konfigurierbar sein. Letztlich ist es doch Sache des Benutzers, was er möchte und was nicht - niemand kann das vorher wissen; nicht der Programmierer, und schon gar nicht der Seitenersteller bzw. Informationslieferant. Mir hat selbst Opera noch zu wenig Einflußmöglichkeiten, und dort kann man schon verflucht viel konfigurieren.
Cheatah

Alles was ich soweit bisher gelesen habe, hat mir schon sehr geholfen. Ich bin zwar noch nicht 100%ig überzeugt, ich werde mich aber vor allem mit den etlichen Verweisen beschäftigen, die ihr mir gegeben habt. Dass Javascript Popups und andere Sachen nerven können verstehe ich, Werbung im Fernsehen nervt auch, aber wegkonfigurieren kann ich die auch nicht. Na ja ich lese erst einmal, wenn es mich dann immer noch juckt kann ich ja irgendwann noch einmal nachfragen. ;-)

Das verstehen IMHO leider viel zu wenige Leute, auch genug von denjenigen, die eine gewisse Verantwortung fuer
das Netz haben sollten.

Hoffentlich werde ich eines Tages einen guten Mittelweg zwischen Design und Technik gefunden haben und diese Verantwortung im Vollen tragen können.

Danke noch einmal, das war mein erstes Posting überhaupt. Ich habe die letzten zwei Jahre "lediglich" gelesen. Ich kenne zumindest einige der Antwortgeber schon, und fühle mich deswegen geehrt, dass meine Frage Beachtung gefunden hat. :-)

Igel

Hi,

• Ich kenne kein anderes Programm als einen Browser, in dem man einfach so das Design desjenigen verstellen kann, der das Programm, oder den Informationsinhalt, gestaltet hat.

Beide Textverarbeitungssysteme, die ich auf dem Rechner habe (AmiPro und WinWord), haben einen Zoom-Modus.

-warum kann man überhaupt Javascript im Browser deaktivieren, wenn jeder sagt, dass es kein Sicherheitsrisiko dabei gibt. Oder gibt es eins?

Es gibt sogar zwei.

1. Beabsichtigte Sicherheitsrisiken.
So nenne ich Designentscheidungen, die in JavaScript Dinge eingeführt haben, die zu bedenklichen Aktionen genutzt werden können.

Beispiel dafür: Die Lesezugriffsmöglichkeit per JavaScript auf die Browser-History.
Es ist möglich (wenn auch unüblich), daß URLs als Parameter sicherheitsrelevante Informationen (Passworte) enthalten.
Und ein Anwender ist sich möglicherweise gar nicht bewußt, ob er im WWW mit einer Anwendung arbeitet, die bezüglich solcher Angriffe verwundbar ist: Eine Online-Banking-Oberfläche mit Framesets zeigt mir in der Adreßzeile nur den URL des Einstiegspunkts, die URLs der Sub-Frames sind womöglich selbst durch Drüberfahren per Maus nicht sichtbar, wenn der Seitenanbieter per JavaScript-Eventbehandlung in meiner Statuszeile herumpfuscht.
Um einer Anwendung ein potentielles Sicherheitsrisiko ansehen zu können, muß der Anwender also den Quelltext dieser Anwendung lesen und *analysieren*! Wie viele Anwender können das? JavaScript abschalten (zumindest direkt nachdem ich die Online-Banking-Anwendung verlassen habe) geht viel einfacher. Oder zwei Browser benutzen, einen mit JavaScript an für wenige 'vertrauenswürdige' Sites, den anderen ohne JavaScript zum Surfen.

In jedem Fall enthält die History Deine Browsing-Geschichte. Wenn jemand per JavaScript die History ausspähen und per URL-Konstruktion an einen eigenen Server senden und damit protokollieren kann, dann empfinde ich das zumindest als unerwünscht. Daß JavaScript in Mails (die z. B. mit Netscape auch ein Browser lesen kann) auch Spam eintragen kann, darauf hat Wolfgang Wiese erst neulich hingewiesen. Und um dies zu entsprechend zu konfigurieren, muß der DAU-Besucher immerhin JavaScript von JavaScript unterscheiden können.

2. Unbeabsichtigte Sicherheitsrisiken
Selbst wenn ein Konzept so spezifiziert ist, daß es bei korrekter Implementierung kein Sicherheitsrisiko darstellt, wer sagt Dir, daß *jeder* Browser es korrekt interpretiert?
Klar, es gibt beispielsweise das Konzept der "sand box", durch welches Java und JavaScript zwar lokal Daten halten, nicht aber beliebige Dateien der eigenen Festplatte verändern können sollen. Aber laß das von einem Browser-Programmierer einfach nur falsch implementiert werden, und schon ist das Loch da.
Je komplexer die Browser werden, und je mehr Sonder-Features in ihnen verfügbar sind, desto leichter können Fehler entstehen. Der M$IE erlaubt beispielsweise *bestimmten* JavaScript-Anwendungen (HTA, z. B. dem Self-Browser) sehr wohl, aus der Sandbox heraus auf die Festplatte zu schreiben. Dies kann mehrere Probleme auslösen:
a) Der Anwender muß erneut zwischen JavaScript und JavaScript differenzieren und kann dabei Fehler machen, d. h. potentiellen Angreifern Zugriffe auf seinen Rechner erlauben, weil er sie nicht von der 'ungefährlichen' JavaScript-Variante unterscheiden kann.
b) Der Programmierer wird nicht zwei komplette JavaScript-Engines implementieren, sondern eine einzige und in dieser an beliebig vielen Stellen Abfragen einbauen, welche Variante gerade vorliegt. Laß ihn auch nur eine einzige falsche Abfrage einbauen oder eine vergessen, und das Sicherheitsloch ist da.

De facto sind immer wieder in verschiedensten Browser-Implementierungen Sicherheitsprobleme gefunden worden. Wer von seinem Besucher erwartet, JavaScript bedenkenlos angeschaltet zu haben, der verlangt von ihm, diese Probleme entweder sehr genau zu verstehen (z. B. nachzuprüfen, welche davon in seinem konkreten Browser auftreten können und welche nicht) oder sie einfach zu ignorieren.

Viele Grüße
      Michael