servus,

Hallo,

Die Website ist in der Lage ohne Aktion des Users Befehle Auszuführen.

Das kann eine Webseite durch jede clientseitige Technik, also auch z.B. durch Java. Java hat aber lang nicht den schlechten Ruf wie JavaScript.

»»Z.B. können Formulare einfach abgeschickt werden.
Nicht ganz. Afaik wird jedesmal eine Meldung angezeigt, wenn man ein Formular abschickt, ob mit oder ohne JavaScript. Wenn ein Benutzer die überliest und trotzdem auf Ok klickt, ok, dann kann man nix machen.

»»Automatische Weiterleitungen sind auch sehr Beliebt.
Das geht auch mit Standard-HTML (siehe meta-refresh)

Vor knapp 2 Jahren ging es sogar noch das der Browser eine Textdatei von deinem Rechner ausliest und Automatisch abschickt.

Eben vor zwei Jahren. Als ich das erste Mal von Sicherheitsproblemen in JavaScript gehört habe (anno 2000, an der Uni in einer Vorlesung)
war JavaScript TATSÄCHLICH noch offen wie ein Scheunentor. Inzwischen hat sich in meinen Augen da aber viel getan.

»»Doch der größte Nachteil ist das javascript mit endlosschleifen den IE umlegen kann. Der erhängt sich dann spontan.
Die neuen IE-Versionen zeigen eine Meldung bei "langlaufen Scripten" an und fragen beim Benutzer nach, ob er das Skript beenden möchte.
Davon abgesehen: Ich hab mit ein paar fiesen CSS-Layouts auch schon sowhl Opera als auch den IE zum Schweigen gebracht, völlig ohne JS :)

Mein Tipp: Man kann so gut wie jedes Sicherheitsproblem lösen indem man nicht einfach auf jeden blinkenden link klickt. Saver surfen ;-)

Full Ack :)

Viele Gruesse,
Joerg

Tach,
Danke für die Antwort erstmal.

Nicht jeder Browser erlaubt es,  selektiv nur Popups zu unterdrücken.

Ich meinte jetzt nicht die Browser-Internen-Blocker - es gibt ja  auch PU-Blocker, die unabhängig vom Browser sind - afaik sind diese sehr zuverlässig, selbst wenn man keinen Browser hat der das nicht kann.

Nicht jeder Surfer ist frei in der Wahl seiner Software - in einer Firma kann es durchaus sein, daß die Mitarbeiter keine Software installieren dürfen, aber die vorhandene Software (ggf. in gewissen Grenzen) konfigurieren - da könnte ein sicherheitsbewußter Mitarbeiter mit zwangsverordnetem IE durchaus auf die Idee kommen, active scripting abzuschalten.

Ok, guter Punkt, muss ich zugeben.

3.) Ältere Browser können kein JavaScript.
Das ist richtig. Aber auch viele der anderen Sachen nicht, die keineswegs so negativ gesehen werden (CSS z.B.)

Das hängt nicht nur am Alter des User-Agents. Ich kenne keinen Textbrowser, der Javascript unterstützt, auch nicht in den aktuellen Versionen.

Richtig, aber Textbrowser können i.d.Regel auch kein CSS (z.B.).

Andere User-Agents (wie z.B. Suchmaschinen-Robots) können auch kein Javascript.

Ja, das spricht aber nicht unbedingt gegen den Einsatz von JS. Es müssen eben entsprechende Noscript-Bereiche definiert sein, die für den Agenten lesbar sind.

Schnickschnack wie z.B. alerts werden vom Popupblocker ggf. nicht erfaßt.
while (i) { alert("bla"); }
kann ziemlich nervig sein.

Das ist allerdings richtig. Die Frage ist, wie sinnvoll es ist, etwas zu blocken, was eigentlich zur Fehlerausgabe bestimmt ist (das wär wie ein STDERR > /dev/null *g*) - aber ich sehe ein, wenn alerts nicht dafür eingesetzt werden, sondern für Werbe-Mitteilungen o.ä. ist es nervig.

Viele Gruesse,
Joerg

Hi,

2.) Sicherheit
...besonders im IE. Nun mal ehrlich: Wer, der auf Sicherheit im Netz Wert legt, nutzt den IE?

Tatsache ist aber, daß der IE am häufigsten eingesetzt wird und ebenso - zumindest bei den über 1% meiner Besucher ohne Javascript - daß diese überwiegend den IE nutzen.

das gute (wie ich hörte) am IE ist ja angeblich,dass der fehlerhafte html code ignoriert und gewisse seiten trotz fehler richtig anzeigt,was widerum meiner meinung nach ein sicherheits risiko darstellt.
Weil(wie mir mal ein beispiel hier gezeigt...) eine Bilddatei,welches eigentlich eine *.vbs datei war trotz dateiendungs-fehler (*.jpg) vom IE richtig interpretiert wurde und demensprechend ausgeführt,was meiner meinung ein grosses sicherheits risiko darstellt.
Weiss natürlich jetzt nicht ob der neue IE das auch noch kann,aber ich nutze den sowieso (fast) nicht mehr,von daher...
Und wenn dann nur noch mit bestätigung,wenn ein aktiveX ausgeführt werden soll.
Gruss
Alain

Hallo,
Danke erstmal für die Antwort.

Tatsache ist aber, daß der IE am häufigsten eingesetzt wird und ebenso - zumindest bei den über 1% meiner Besucher ohne Javascript - daß diese überwiegend den IE nutzen.

Die Frage ist: Wieviel von diesen Sicherheitslücken im IE sind JavaScript-Bedingt? Ettliches hat ja mit Scripting gar nichts zu tun, sondern ist ein Sicherheitsmangel den man nur mit einem entsprechenden Sicherheitspatch (so es von M$ einen gibt) wieder los wird.

Hi,

Es ist auch durchaus interessant, bei einer Google-Suche auf der Seite zu
landen, die der Robot indiziert hat, statt auf der mittels Javascript
erzeugten oder umgeleiteten.

wobei Du die richtig dummen Seiten nur siehst, wenn Du die automatische Weiterleitung deaktivierst.

freundliche Grüße
Ingo

Moin,
danke fürs Antworten.

Als was bitte? JavaScript ist für mich eine Programmiersprache, um Webseiten "eine andere Form von Leben" einzuhauchen, kein Gestaltungswerkzeug. In diesem Sinne ist CSS ein Gestaltungswerkzeug.

Wenn du's so sehen willst ok. Ich definiere Gestaltung als gesammtheitliches Bild einer Web-Seite - nicht nur welche Farben, Fonts, Abstände, Anordnungen usw. einzelne Elemente haben, auch welche Teile sich vielleicht bewegen, einen graphischen Effekt beinhalten etc. Insofern ist JavaScript ein Gestaltungswerkzeug für mich-

4.) JavaScript nervt durch bunte Gimmicks etc.

Welche Farbe hat den JavaScript?

Dieses Argument bezog sich auf den Standard "Lynx-allein-reicht-zum-Glücklich-sein-Troll", der prinzipiell alles, was mit Flash, JavaScript oder ähnlichen Techniken gemacht ist verteufelt, weil "das Internet ursprünglich nur text-basiert war" (kein witz, sowas hab ich als Posts schon gelesen), und da gehören keine graphischen effekte, Animationen usw. rein.

Dem kann ich zustimmen, wenns um Sachen wie Popups (siehe 1.) und ähnlichen Schnickschnack geht. Aber mit JavaScript lassen sich doch z.B. auch sehr schöne Sachen in Puncto Navigation machen, die die Benutzbarkeit einer Seite erhöhen.

Kann man auch serverseitig machen, dauert nur einen kleinen Moment länger (bis die neue Navigation nachgeladen ist).

Kommt auf die Navigation an. Wenn Du bewegliche Teile haben willst (Infoboxen, die auffahren, wenn du einen Menupunkt anklickst usw.) ist das serverseitig nicht mehr realisierbar. Für das StandardMenu hast du natürlich recht, da gehts auch serverseitig, und mit CSS und hover-Eigenschaften allein kann man ja schon wirtzige Sachen anstellen.

5.) Jeder kann den JavaScript-Code lesen und Code klauen

Bitte, was ist das für ein Argument? Jeder kann auch deinen HTML-Code lesen und klauen, deine Bilder, CSS, ... Das sind alles Verstöße gegen das Urheberrecht. Bei den genannten schlampigen Webprogrammierern kommt man sogar oft an den (vorzugsweise PHP-) Code ran.

Eben, es ist kein Argument, aber es wird von manchen als solches gesehen. "Java/Flash ist besser, weil da sieht niemand meinen heiligen Code".

Obwohl, könnte man nicht auch Screenreader, ... so ausstatten, dass sie JS interpretieren? Das Problem mit der Barrierefreiheit liegt vielleicht daran, dass man beim Programmieren nur an die Bildschirmausgabe denkt.

Wohl war. Eine gut ausgebaute "Noscript-Section" (wie in einem Post weiter unten erwähnt) tut ja da bereits gute dienste, nur nicht alle  nutzen selbige wirklich sinnvoll.

Bitte mal um Eure Meinung, vielleicht besonders von Leuten, die JavaScript abgeschaltet haben und begründen wollen/können, warum.

Grüße,
Jörg