Festplatte löschbar und Progs. lokal startbar?
balubaum
- javascript
0 EinAnonymer0 Maxx0 Cybaer0 Thoralf Knuth
Hallo zusammen!
In dem Institut wo ich arbeite wird davor gewarnt im Browser JavaScript eingeschaltet zu haben, da nach Aussage der Verantwortlichen damit Programme auf dem lokalen Rechner gestartet werden könnten (welche dann wieder ins WWW raus Kontakt knüpfen können) und es sei sogar möglich Festplatten zu löschen!!!
Ist das so wahr und richtig? Das wiederspricht doch eigentlich dem Wesen einer lokal ausführbaren Skriptsprache. Sind diese Ängste nun berechtigt?
(Das Institut ist übrigens mit Firewall und Virenscanner ausgerüstet. Der Internet-Explorer wird im Institut offiziell NICHT benutzt, statt dessen NS 4.7 aufwärts.)
Grüsse,
balubaum
Hi!
Natürlich ist soetwas nicht möglich! wer Javascript deaktiviert verpasst was. Ist genauso wie mit Cookies. Alles 1000% Harmlos.
Aber irgentwie hab ich das gefühl, das du das schon weißt!
Der Iexplorer ist auch nicht gefährlicher als Netcape navigator
Natürlich ist soetwas nicht möglich! wer Javascript deaktiviert verpasst was. Ist genauso wie mit Cookies. Alles 1000% Harmlos.
http://www.heise.de/security/dienste/browsercheck/demos/ie/
z.b. das Beispiel 'laden und ausführen beliebiger Dateien'.
Aber irgentwie hab ich das gefühl, das du das schon weißt!
Der Iexplorer ist auch nicht gefährlicher als Netcape navigator
Ach ein Troll.
Struppi.
Ach ein Troll.
Glaube ich eher nicht, Struppi. Daher schenke ich Dir die passenden Ironie-Tags zum vermeindlichen Trollpost.
<ironie> </ironie>
Stefan
Hallo Struppi,
Vielen Dank für Deine Infos. Offensichtlich scheint an der Sorge wirklich etwas dran zu sein.
Gruss,
balubaum
Natürlich ist soetwas nicht möglich! wer Javascript deaktiviert verpasst was. Ist genauso wie mit Cookies. Alles 1000% Harmlos.
http://www.heise.de/security/dienste/browsercheck/demos/ie/
z.b. das Beispiel 'laden und ausführen beliebiger Dateien'.
Hallo EinAnonymer,
Aber irgentwie hab ich das gefühl, das du das schon weißt!
Ich war immer der Meinung, dass das eben NICHT möglich sei. Deswegen störe ich mich an den Popups, welche auf institutseigenen Seiten immer aufpoppen und darauf hinweisen man solle JavaScript ausschalten.
Ich lasse mich aber gerne des besseren belehren.
Gruss,
balubaum
Hallo,
(Das Institut ist übrigens mit Firewall und Virenscanner ausgerüstet. Der Internet-Explorer wird im Institut offiziell NICHT benutzt, statt dessen NS 4.7 aufwärts.)
Meiner Meinung nach ist das Risiko sich mit javascript auf einer Seite zu infizieren relativ gering. Zumindest auf Seiten die bürotauglich sind ....
Aber viel bessere Einfallstore für Viren oder Würmer bietet das Emailsystem. Welchen eMail-Client setzt ihr ein? IMHO ist Outlook 100 mal gefährlicher als ein IE mit javascript und ActiveX.
Auch aktuelle Virenscanner nützen (fast) nichts, solange -vor allem die männlichen Mitarbeiter- auf alles in der Mail klicken was wie ein Anhang aussieht. Oder ein JPG wenn es heidi-klum-nackt.jpg.exe heißt.
Grüße,
Jochen
Hallo Jochen,
Aber viel bessere Einfallstore für Viren oder Würmer bietet das Emailsystem. Welchen eMail-Client setzt ihr ein? IMHO ist Outlook 100 mal gefährlicher als ein IE mit javascript und ActiveX.
Als e-Mail Client kommen Netscape und Lotus Notes zum Einsatz.
Gruss,
balubaum
Hi,
Aber viel bessere Einfallstore für Viren oder Würmer bietet das Emailsystem. Welchen eMail-Client setzt ihr ein? IMHO ist Outlook 100 mal gefährlicher als ein IE mit javascript und ActiveX.
die Gefährlichkeit von Outlook bezog sich darauf, dass manches bereits ohne den Klick funktioniert.
Als e-Mail Client kommen Netscape und Lotus Notes zum Einsatz.
Das was den Anhang einer Mail, und den Umgang mit demselben angeht gilt natürlich auch für Netscape oder Lotus Notes.
Grüße,
Jochen
Hi,
Ist das so wahr und richtig? Das wiederspricht doch eigentlich dem Wesen einer lokal ausführbaren Skriptsprache. Sind diese Ängste nun berechtigt?
Ja, wenn man mit dem IE surft. Der benutzt nämlich nicht JavaScript, sondern JScript, welches sich zudem nicht (ohne weiteres) getrennt von den gefährlichen sonstigen aktiven Inhalten getrennt aktivieren/deaktivieren läßt (quasi mitgefangen, mitgehangen - Microschrott wußte schon, warum sie das so machen >;->).
(Das Institut ist übrigens mit Firewall und Virenscanner ausgerüstet. Der Internet-Explorer wird im Institut offiziell NICHT benutzt, statt dessen NS 4.7 aufwärts.)
Dann viel Spaß beim Surfen mit JavaScript! :-)
Gruß, Cybaer
PS: Beim IE kann man übrigens mittels eines Tools der c't deutlich gezielter "Features" deaktivieren.
Hallo,
ausserhalb der genannten Bindung von JScript an ActiveX & Co gibt es eine Menge Exploits, die das sandbox-Konzept aufbrechen.
Ich vermute aber, gemeint ist die Lücke im Cross Domain Bereich (http://www.pivx.com/larholm/adv/TL003/), also das Ausführen von J*Script ausserhalb des ursprünglichen Kontext. Heise hat darüber berichtet: http://www.heise.de/newsticker/meldung/29006 und bietet ein Beispiel im Browsercheck.
Microsoft führt das unter der Vulnerability ID CAN-2002-1262 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1262), ein Patch dazu ist im kumulativen Patch #324929 enthalten, der im Microsoft Security Bulletin MS02-068 veröffentlicht wurde: http://www.microsoft.com/technet/security/bulletin/MS02-068.asp
Gruss, Thoralf