Houyhnhnm: Sicherheitsrisiken mit Javascript

Welche Sicherheitsrisiken geht ein, wer Javascript in seinem Broswer zuläßt?

Mir fallen in diesem Zusammenhang Crosssite-Trixereien ein, die von Phishern benutzt werden.

Solchen Gefahren kann man doch wohl am einfachsten dadurch begegnen, daß man vor dem http-Internetbanking immer alle laufenden Browser beendet und einen neuen öffnet, und ausschließlich die Bank und keine anderen Seiten aufsucht und nach dem Bank-Logout auch diesn Browser wieder beendet.

Oder gibt es noch andere 'gute' Argumente gegen JS?

  1. Hallo Houyhnhnm ;~)

    Das erfährst Du wohl am besten, wenn Du die Sprache lernst.
    Die von Dir angesprochenen Gefahren werden durch ordentliche Browser, wie dem Firefox, ausgeschlossen.
    Meines Wissens nach lassen nur besonders alte Versionen des MSIE und Netscape diese Lücken zu, vor allem das Crosssite-Manipulating.

    Direkte Nachteile fallen mir nicht ein, denn JavaScript ist eigentlich keine ernst zu nehmende Gefahrenquelle, wenn der Browser ein Auge drauf hat.

    Allgemein: Wenn die Quelle des JavaScripts seriös ist, brauchst Du dir diesbezüglich keine Sorgen zu machen. Ansonsten besser abschalten.

    Interessant wäre jedoch, was welches bösartige Potenzial in Ajax steckt, was ja bekanntlich JavaScript ist.

    Mit freundlichen Grüßen
    Stefano Albrecht

    1. Hallo Stefano,

      Das erfährst Du wohl am besten, wenn Du die Sprache lernst.

      Meinst Du wirklich?

      Allgemein: Wenn die Quelle des JavaScripts seriös ist, brauchst Du dir diesbezüglich keine Sorgen zu machen. Ansonsten besser abschalten.

      Das ist ja tröstlich - nur wie stelle ich fest, ob eine Quelle seriös ist?

      Spaß beiseite - solche Allgemeinplätze führen nicht weiter. Ich möchte eine noscript-Section basteln, die fundierte Informationen über die tatsächlichen Gefahren von JS gibt, und was man machen kann, diese Gefahren möglichst gering zu machen.

      1. Hallihallo!

        [...] fundierte Informationen über die tatsächlichen Gefahren von JS gibt, und was man machen kann, diese Gefahren möglichst gering zu machen.

        Meines Wissens gibt es keine wirklichen Gefahren in Bezug auf Javascript, solange man einen nicht veralteten oder experimentellen[1] Browser verwendet.
        Was es aber leider viel zu viel gibt, sind sinnlose Javascript- Nervereien wie Popups oder diese dämliche neuartige Layerwerbung, die Einem die eigentliche Seite teilweise sogar unbrauchbar macht.

        Meiner Meinung nach kann man also ruhigen Gewissens mit eingeschaltetem Javascript durch die Gegend surfen, sollte sich aber die Möglichkeit offenhalten, es für bestimmte Seiten zu deaktivieren.
        Popupblocker gehören ja mittlerweile zum Standardrepertoire der Browser.

        Zum Thema Ajax: Die einzige "Gefahr", die ich da spontan sehe, ist die, daß ein Seitenbetreiber jederzeit "sehen" kann, was ich z.B. gerade in ein Formular eingebe, auch wenn ich es im Nachhinein wieder korrigiere bzw. resette. Dem kann man jedoch ganz einfach entgegenwirken, indem man _vor_ dem Benutzen eines Formulars ganz einfach seinen Verstand aktiviert und nicht Eingaben tätigt, die man nicht abzusenden gedenkt.

        Meine Meinung im Allgemeinen: Javascript muss man nicht aktivieren, muss man aber auch nicht deaktivieren. Für mich ist das ganz einfach ein persönliches Abwägen zwischen dem Geniessen von aktiven Inhalten und dem Geniessen von Ruhe. Perfekt, wenn man jederzeit und für jede Seite einzeln die Wahl hat.

        Viele liebe Grüße,
        Der Dicki

        1. hi,

          Meines Wissens gibt es keine wirklichen Gefahren in Bezug auf Javascript, solange man einen nicht veralteten oder experimentellen[1] Browser verwendet.

          Auf die Erklärung zur lediglich angedeuteten Fußnote wäre ich jetzt aber gespannt.

          Zum Thema Ajax: Die einzige "Gefahr", die ich da spontan sehe, ist die, daß ein Seitenbetreiber jederzeit "sehen" kann, was ich z.B. gerade in ein Formular eingebe

          Das ging "vor AJAX" auch schon.

          gruß,
          wahsaga

          --
          /voodoo.css:
          #GeorgeWBush { position:absolute; bottom:-6ft; }
          1. Hallihallo!

            Meines Wissens gibt es keine wirklichen Gefahren in Bezug auf Javascript, solange man einen nicht veralteten oder experimentellen[1] Browser verwendet.

            Auf die Erklärung zur lediglich angedeuteten Fußnote wäre ich jetzt aber gespannt.

            Ups, sorry. Die hab ich glatt vergessen.
            Was ich damit meinte, ist die (theoretische) Möglichkeit, daß in einem Browser in der Betaphase die Umsetzung der Javascript- Methoden noch fehlerhaft sein kann. Dass zum Beispiel die Same Origin Policy nicht eingehalten wird.
            Ist zwar nicht unbedingt das Wahrscheinlichste, aber immerhin denkbar.

            Zum Thema Ajax: Die einzige "Gefahr", die ich da spontan sehe, ist die, daß ein Seitenbetreiber jederzeit "sehen" kann, was ich z.B. gerade in ein Formular eingebe

            Das ging "vor AJAX" auch schon.

            Natürlich ging das auch vorher schon, aber Ajax ist eher dafür "wie geschaffen".

            Viele liebe Grüße,
            Der Dicki

            1. hi,

              Was ich damit meinte, ist die (theoretische) Möglichkeit, daß in einem Browser in der Betaphase die Umsetzung der Javascript- Methoden noch fehlerhaft sein kann.

              Was hat das mit "Betaphase" zu tun?
              [ ] Du kennst den IE.

              gruß,
              wahsaga

              --
              /voodoo.css:
              #GeorgeWBush { position:absolute; bottom:-6ft; }
              1. Hallihallo!

                Was hat das mit "Betaphase" zu tun?

                Daß Sicherheitslücken in der Implemetierung von Javascript maximal in einem Betastadium vorkommen darf. Bei finalen Versionen erwarte ich das einfach nicht.

                [x ] Du kennst den IE.

                Ja, ich kenne ihn. Ich benutze ihn auch, auch jetzt. Und ich habe Javascript nicht deaktiviert. Zumindest in der aktuellen Version ist mir auch keine Sicherheitslücke, was Javascript betrifft, bekannt.

                Viele liebe Grüße,
                Der Dicki

                1. Hi Der Dicki,

                  [x ] Du kennst den IE.
                  Ja, ich kenne ihn. Ich benutze ihn auch, auch jetzt. Und ich habe Javascript nicht deaktiviert. Zumindest in der aktuellen Version ist mir auch keine Sicherheitslücke, was Javascript betrifft, bekannt.

                  Es gab aber immer wieder erfolgreiche Versuche, beim IE JS für Schadprogramme zu nutzen, etwa um Dialer zu installieren. Ganz ohne finde ich die Kombination IE+JS nicht.

                  Viele Grüße
                  Mathias Bigge

                  1. Es gab aber immer wieder erfolgreiche Versuche, beim IE JS für Schadprogramme zu nutzen, etwa um Dialer zu installieren. Ganz ohne finde ich die Kombination IE+JS nicht.

                    Also ist meine Idee mit dem "frischen" Browser für sensible Anwendungen doch nicht so ganz daneben.

                    1. Also ist meine Idee mit dem "frischen" Browser für sensible Anwendungen doch nicht so ganz daneben.

                      Nein. Das spielt keine überhaupt Rolle. wie gesagt Crossdomain Phishing war mal in ganz frühen Netscape 2 Versionen.

                      Sensibel ist der Browser, wenn du nicht die neuste Version hast (wobei es auch noch ungepatchte Lücken gibt). Dialer, Trojaner oder sowas holst du dir ja nicht von deiner Bankseite, sondern von obskuren Seiten. Nur wenn du google Suchergebnisse durchforstest weißt du das nicht immer vorher.

                      Struppi.

                      1. Die Bank natürlich nicht, aber was Du in einem anderen Tab des Browsers hast, oder was sich - wie auch immer - vorher irgendwie festgestzt hat, könnte ja die Bank bephischen.

                        1. Die Bank natürlich nicht, aber was Du in einem anderen Tab des Browsers hast, oder was sich - wie auch immer - vorher irgendwie festgestzt hat, könnte ja die Bank bephischen.

                          Wie gesagt, gerade das geht seit Netscape 2 (soweit ich mich erinnere) nicht mehr.

                          Struppi.

                2. [x ] Du kennst den IE.
                  Ja, ich kenne ihn. Ich benutze ihn auch, auch jetzt. Und ich habe Javascript nicht deaktiviert. Zumindest in der aktuellen Version ist mir auch keine Sicherheitslücke, was Javascript betrifft, bekannt.

                  http://www.heise.de/security/dienste/browsercheck/demos/ie/

                  ausführen beliebiger Programme mit onload
                  http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_26.shtml

                  laden und ausführen beliebiger Programme mit Hilfe
                  http://www.heise.de/security/dienste/browsercheck/demos/ie/e5_25.shtml

                  usw.

                  Struppi.

        2. Hallo Dicki,

          Was es aber leider viel zu viel gibt, sind sinnlose Javascript- Nervereien wie Popups oder diese dämliche neuartige Layerwerbung, die Einem die eigentliche Seite teilweise sogar unbrauchbar macht.

          Full ACK!

          Meiner Meinung nach kann man also ruhigen Gewissens mit eingeschaltetem Javascript durch die Gegend surfen, sollte sich aber die Möglichkeit offenhalten, es für bestimmte Seiten zu deaktivieren.

          Ich halte es da wegen der häufigen Nervereien genau andersrum: Ich habe JS generell gesperrt und führe nur eine Whitelist für die wenigen Seiten, wo ich es tatsächlich für nützlich oder notwendig halte.

          Popupblocker gehören ja mittlerweile zum Standardrepertoire der Browser.

          Zum Glück, ja.

          Meine Meinung im Allgemeinen: Javascript muss man nicht aktivieren, muss man aber auch nicht deaktivieren. Für mich ist das ganz einfach ein persönliches Abwägen zwischen dem Geniessen von aktiven Inhalten und dem Geniessen von Ruhe. Perfekt, wenn man jederzeit und für jede Seite einzeln die Wahl hat.

          Besser hätte ich es auch nicht formulieren können.

          Schönen Tag noch,
           Martin

          --
          Most experts agree: Any feature of a program that you can't turn off if you want to, is a bug.
          Except with Microsoft, where it is just the other way round.
      2. Hallo Houyhnhnm ;~)

        Meinst Du wirklich?

        Ich spreche aus Erfahrung, wenn man das so sagen darf.
        Wie bei allen anderen Sprachen auch, lernt man das Potenzial dieser erst kennen, wenn man es testet.
        In Artikeln kann ja viel stehen, aber trotzdem ist es besser, wenn man sich der Sache tatsächlich bewusst ist.

        Allgemein: Wenn die Quelle des JavaScripts seriös ist, brauchst Du dir diesbezüglich keine Sorgen zu machen. Ansonsten besser abschalten.

        Das ist ja tröstlich - nur wie stelle ich fest, ob eine Quelle seriös ist?

        Tja, ein JavaScript von SelfHTML ist vermutlich seriöser als eines von www.wirHackenDich.org. Ich denke das ist selbsterklärend.

        Spaß beiseite - solche Allgemeinplätze führen nicht weiter. Ich möchte eine noscript-Section basteln, die fundierte Informationen über die tatsächlichen Gefahren von JS gibt, und was man machen kann, diese Gefahren möglichst gering zu machen.

        Jetzt steht dein Eintrag in einem anderen Licht.
        Zuvor habe ich gedacht, dass Du lediglich auf Dein persönliches Surf-Vergnügen zu sprechen kommst.
        Die zahlreichen anderen Antworten geben bestimmt die gesuchte Antwort :~)

        Mit freundlichen Grüßen
        Stefano Albrecht

  2. Hallo Houyhnhnm.

    Mir fallen in diesem Zusammenhang Crosssite-Trixereien ein, die von Phishern benutzt werden.

    Dies sollte dank der Same Origin Policy kein Thema mehr sein.

    Einen schönen Sonntag noch.

    Gruß, Ashura

    --
    sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
    mathbr:del.icio.us/ mathbr:w00t/
    1. Danke Ashura,

      das war ein guter Tipp.

      Ich finde, man sollte diese doofen erhobenen Zeigefinger endlich in die Nase ihrer Träger schieben - dort können sie weniger Unheil stiften...

      Was ist von dem Ratschlag mit dem Browserneustart zu halten?

      1. Hallo Houyhnhnm ;~)

        Welche "Träger" meinst Du?

        Mit neugierigen Grüßen
        Stefano Albrecht

        1. Welche "Träger" meinst Du?

          Na ganz einfach die, die ihre Zeigefinger erhoben durch die Landschaft tragen, auch temporär und dabei finstere Sachen brabbeln.

          1. Naja so viel war mir eigentlich klar.
            Dachte Du könntest Konkreteres dazu sagen.

            Mit mittlerweile desinteressierten Grüßen
            Stefano Albrecht

            1. Ich lese immer wieder, 'man' sollte JS aus Sicherheitsgründen abschalten - keine weiteren Erklärungen, nur Zeigefinger hochgeklappt.

              Weil mir sowas den Senkel geht, wollte ich der Sache auf den Grund gehen und habe die Sache hier zur Debatte gestellt.

              IE6 fördert mit seinem wirklich superdilettantisch gemachten 'Sicherheitsfeature' die Hysterie auch noch kräftig...

              1. Hallihallo!

                Ich lese immer wieder, 'man' sollte JS aus Sicherheitsgründen abschalten - keine weiteren Erklärungen, nur Zeigefinger hochgeklappt.

                Liest Du das auch hier? Ich habe jetzt extra mal ein bisschen im Forum und im Archiv gestöbert, aber eine solche Aussage aus dem Zeitraum des letzten Jahres (weiter habe ich nicht geschaut) habe ich nicht gefunden. Ich lasse mich aber gerne in Form von Links vom Gegenteil überzeugen, falls ich schlampig war.

                Was ich hier jedoch sehr oft in diesem Forum lese, ist die Aussage, daß Javascript nicht das Nonplusultra ist, und daß man es schon gar nicht (z.B. in Form von dynamischen Menüs) als einzige Möglichkeit der Navigation benutzen darf.
                Diese Aussage hat ihre Berechtigung aus mindestens 2 Gründen:

                1. interpretieren Suchmaschinen kein Javascript, sie können also den Verweisen nicht folgen.
                2. haben viele Besucher aufgrund der Popup- und anderen Javascriptplagen für sich entschieden, daß sie Javascript nicht mehr wollen. Diese Entscheidung basiert aber in den seltensten Fällen auf Sicherheitsfragen.

                Du wirst in diesem Forum kaum Jemanden finden, der Dir sagt, Javascript sei per se böse. Du kannst es einsetzen, wenn Du möchtest. Jeder kann und darf das. Dafür ist Javascript da.
                Man sollte sich eben

                • erstens nicht ausschliesslich auf Javascript verlassen (s.o.), also immer eine noscript- Variante für elementare Funktionen anbieten,
                • zweitens am Besucher und seinem Empfinden beim Betrachten einer Seite orientieren, was sinnleere Popups usw. verbieten sollte.

                Also wie gesagt: kaum Einer wird Dir in diesem Forum dazu raten, _aus Sicherheitsgründen_ Dein Javascript zu deaktivieren.

                Viele liebe Grüße,
                Der Dicki

              2. Ich lese immer wieder, 'man' sollte JS aus Sicherheitsgründen abschalten - keine weiteren Erklärungen, nur Zeigefinger hochgeklappt.

                In der Regel liest man sowas, wenn eine entsprechende Lücke aufgetaucht ist und M$ noch keinen patch geliefert hat.

                IE6 fördert mit seinem wirklich superdilettantisch gemachten 'Sicherheitsfeature' die Hysterie auch noch kräftig...

                Eigentlich finde ich die Sicherheitseinstellungen im IE relativ gut, sogar besser als in Mozillabrowsern. Im IE kannst du sehr selektiv Einstellungen vornehmen. Das größte Manko des IEs, ist IMHO seine enge Verzahnung im System, das oft dazu führt, dass wenn eine Lücke gefunden wird, diese dazu genutzt werden kann weitreichende Eingriffe vorzunehmen.

                Worauf begründet sich deine Aussage?

                Struppi.

                1. Hi Struppi,

                  Eigentlich finde ich die Sicherheitseinstellungen im IE relativ gut, sogar besser als in Mozillabrowsern. Im IE kannst du sehr selektiv Einstellungen vornehmen.

                  Vor allem das Zonenmodell sollten die Alternativbrowser mal ins Auge fassen.

                  Viele Grüße
                  Mathias Bigge

                  1. Hallo.

                    Vor allem das Zonenmodell sollten die Alternativbrowser mal ins Auge fassen.

                    Letztlich werden da auch einfach nur bestimmte Funktionen für zu definierende Adressen gesperrt. Welche Funktion auf welchen Seiten im einzelnen wie konfiguriert ist, lässt sich aus Formulierungen wie "Anpassen der meisten Internetsites" oder "Der meiste Inhalt wird ohne Bestätigung ausgeführt" jedenfalls kaum ablesen. Und das jeweilige Intranet will auch akribisch definiert werden, was überaus unpraktisch sein kann, wenn man für unterschiedliche Auftraggeber in deren Netzen arbeiten muss.
                    MfG, at

                    1. Hi at,

                      Vor allem das Zonenmodell sollten die Alternativbrowser mal ins Auge fassen.
                      Letztlich werden da auch einfach nur bestimmte Funktionen für zu definierende Adressen gesperrt. Welche Funktion auf welchen Seiten im einzelnen wie konfiguriert ist, lässt sich aus Formulierungen wie "Anpassen der meisten Internetsites" oder "Der meiste Inhalt wird ohne Bestätigung ausgeführt" jedenfalls kaum ablesen.

                      Wahrscheinlich XP-Nutzeroberfläche, die kenne ich nicht. In 2000-Server geht das alles sehr konkret.

                      Und das jeweilige Intranet will auch akribisch definiert werden, was überaus unpraktisch sein kann, wenn man für unterschiedliche Auftraggeber in deren Netzen arbeiten muss.

                      Ja, ich wüsste aber auch keinen, das zu vereinfachen. Die verschiedenen Adressen eines Arbeitszusammenhangs müssen halt einmal erfaaasst werden.

                      Viele Grüße
                      Mathias Bigge

                      1. Hallo.

                        Letztlich werden da auch einfach nur bestimmte Funktionen für zu definierende Adressen gesperrt. Welche Funktion auf welchen Seiten im einzelnen wie konfiguriert ist, lässt sich aus Formulierungen wie "Anpassen der meisten Internetsites" oder "Der meiste Inhalt wird ohne Bestätigung ausgeführt" jedenfalls kaum ablesen.
                        Wahrscheinlich XP-Nutzeroberfläche, die kenne ich nicht.

                        Ich schon, aber sie war es nicht. Es handelte sich um die Workstation-Variante.

                        In 2000-Server geht das alles sehr konkret.

                        Den habe ich gerade nicht zur Hand.

                        Und das jeweilige Intranet will auch akribisch definiert werden, was überaus unpraktisch sein kann, wenn man für unterschiedliche Auftraggeber in deren Netzen arbeiten muss.
                        Ja, ich wüsste aber auch keinen, das zu vereinfachen. Die verschiedenen Adressen eines Arbeitszusammenhangs müssen halt einmal erfaaasst werden.

                        Insofern sehe ich keinen Nachbesserungsbedarf der anderen Anbieter. Es ist und bleibt immer ein Aufwand, ob man nun einzelne Adressen als "Intranet" definiert oder ob man ihnen direkt bestimmte Dinge untersagt.
                        MfG, at

  3. hi,

    Solchen Gefahren kann man doch wohl am einfachsten dadurch begegnen, daß man vor dem http-Internetbanking immer alle laufenden Browser beendet und einen neuen öffnet,

    Und wenn ich bspw. nach einer eBay-Auktion die Kontodaten des Verkäufers angezeigt bekomme - soll ich mir die dann erst ausdrucken, abschreiben oder kopieren, und dann "alle laufenden Browser" (bei mir sowieso idR. nur einer, Opera) schließen, bevor ich die Seite öffne, auf der ich eben diese Daten wieder brauche? Das wäre mir aber etwas zu umständlich ...

    gruß,
    wahsaga

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }
    1. Hi wahsaga,

      Und wenn ich bspw. nach einer eBay-Auktion die Kontodaten des Verkäufers angezeigt bekomme - soll ich mir die dann erst ausdrucken, abschreiben oder kopieren, und dann "alle laufenden Browser" (bei mir sowieso idR. nur einer, Opera) schließen, bevor ich die Seite öffne, auf der ich eben diese Daten wieder brauche?

      Diese Daten kopiere ich mir sowieso grundsätzlich in eine Textdatei, die ich zusammen mit einer Kopie der kompletten Angebotsseite ablege. Nur so kann ich sicher sein, dass ich auf alle nötigen Daten auch wirklich zugreifen kann, selbst wenn ebay mal wieder irgendwelche Serverprobleme hat. In letzter Zeit ist das zwar seltener geworden, aber trotzdem...

      Ich verstehe sowieso nicht, wieso ebay das Abrufen der Kontodaten derart umständlich gestaltet. Ich habe schon einmal angefragt, warum sie diese Informationen nicht gleich in der Bestätigungsmail nach Auktionsende mitliefern, oder meinetwegen auch erst in der Bestätigungsmail nach der sogenannten Kaufabwicklung, wenn ich bekanntgegeben habe, dass ich per Überweisung zahlen möchte. Habe leider, wie üblich, keine Antwort auf meine Anfrage bekommen. :-(

      Das wäre mir aber etwas zu umständlich ...

      Ich verstehe, was du mit deinem Einwand sagen willst. Aber das Beispiel, das du gewählt hast, finde ich unpassend.

      Schönen Tag noch,
       Martin

      --
      Ich stehe eigentlich gern früh auf.
      Außer morgens.
      1. Hallo Martin!

        Ich verstehe sowieso nicht, wieso ebay das Abrufen der Kontodaten derart umständlich gestaltet. Ich habe schon einmal angefragt, warum sie diese Informationen nicht gleich in der Bestätigungsmail nach Auktionsende mitliefern, oder meinetwegen auch erst in der Bestätigungsmail nach der sogenannten Kaufabwicklung, wenn ich bekanntgegeben habe, dass ich per Überweisung zahlen möchte. Habe leider, wie üblich, keine Antwort auf meine Anfrage bekommen. :-(

        Dass eBay Dir nicht geantwortet hat ist schade. Aber dass sie Dir die Kontodaten des anderen Nutzers nur über das Webinterface zukommen lassen liegt einzig und allein daran, dass wahrscheinlich 90% aller Internetnutzer nicht sichere Verbindungen nutzen um Ihre E-Mails abzurufen und auch ich möchte nicht, dass meine Kontodaten quer durchs Netz gescheucht werden. Am besten noch weitergeleitet...

        Schönen Gruß

        Afra

        1. Hallo,

          Dass eBay Dir nicht geantwortet hat ist schade.

          Aber normal. Ich hab schon oft versucht, Bugreports oder auch Verbesserungsvorschläge dort an den Mann zu bringen. In höchstens 20% der Fälle (geschätzt) bekam ich überhaupt eine Antwort.

          Aber dass sie Dir die Kontodaten des anderen Nutzers nur über das Webinterface zukommen lassen liegt einzig und allein daran, dass wahrscheinlich 90% aller Internetnutzer nicht sichere Verbindungen nutzen um Ihre E-Mails abzurufen und auch ich möchte nicht, dass meine Kontodaten quer durchs Netz gescheucht werden.

          Warum? Wenn jemand meine Kontonummer kennt, kann er/sie doch noch nicht viel damit anfangen - höchstens mir eine Spende *g* überweisen. Um etwas von meinem Konto abzubuchen, braucht derjenige entweder noch eine Einzugsermächtigung[1] oder meine PIN _und_ die TAN-Liste. So what?

          Schönen Tag noch,
           Martin

          [1] Und wenn auf meinem Kontoauszug Abbuchungen auftauchen, die ich nicht autorisiert habe, dann pfeif' ich die sofort zurück. Ist mir aber bisher nur 1x passiert: Der ADAC hat vor vielen Jahren trotz schriftlich bestätigter Kündigung weiter Mitgliedsbeiträge abgebucht. Schweinebande!

          --
          F: Was ist schneller: Das Licht oder der Schall?
          A: Offensichtlich der Schall. Wenn man den Fernseher einschaltet, kommt immer erst der Ton, und dann erst das Bild.
          1. Hallo Martin!

            Aber dass sie Dir die Kontodaten des anderen Nutzers nur über das Webinterface zukommen lassen liegt einzig und allein daran, dass wahrscheinlich 90% aller Internetnutzer nicht sichere Verbindungen nutzen um Ihre E-Mails abzurufen und auch ich möchte nicht, dass meine Kontodaten quer durchs Netz gescheucht werden.

            [1] Und wenn auf meinem Kontoauszug Abbuchungen auftauchen, die ich nicht autorisiert habe, dann pfeif' ich die sofort zurück.

            Gut und schön, aber es kostet Zeit und Aufwand und damit Geld. Und dies geht auch nur innerhalb von 6 Wochen. Ich bin zum Beispiel gerne mal 4 Wochen irgendwo im Nirgendwo unterwegs und schaue auch sonst nicht immer jede Woche auf meine Konten. Nur weil Du Dir die Mühe machen würdest, müssen nicht die anderen mit der Unsicherheit eines Systems leben, oder? ;o)

            Schönen Gruß

            Afra

    2. Und wenn ich bspw. nach einer eBay-Auktion die Kontodaten des Verkäufers angezeigt bekomme - soll ich mir die dann erst ausdrucken, abschreiben oder kopieren, und dann "alle laufenden Browser" (bei mir sowieso idR. nur einer, Opera) schließen, bevor ich die Seite öffne, auf der ich eben diese Daten wieder brauche? Das wäre mir aber etwas zu umständlich ...

      Kleiner Tipp: über die Zwischenablage und ein Teil wie Notepad geht das ganz problemlos - wenn es um sensible Accounts geht, mache ich das im Zweifelsfall.

      Mit "alle laufenden Browser" meine ich, daß man ja auch mehrere von derselben Art gleichzeitig laufen haben kann - ob die nicht in Wirklichkeit von einem einzigen Prozeß bedient werden, sieht man nicht ohne weiteres. Der Windows-Explorer macht sowas.

      1. hi,

        Kleiner Tipp: über die Zwischenablage und ein Teil wie Notepad geht das ganz problemlos -

        Und den Nagel kann man auch mit einem Bagger in die Wand treiben, ich weiß.

        wenn es um sensible Accounts geht, mache ich das im Zweifelsfall.

        Möchte ich aber nicht.

        Wozu soll ich diesen Zusatzaufwand betreiben müssen?
        Ich betrachte bzw. interagiere mit zwei Webseiten.
        Dass ich dabei den Webbrowser verlassen (müssen) sollte, ist doch widersinnig.

        Mit "alle laufenden Browser" meine ich, daß man ja auch mehrere von derselben Art gleichzeitig laufen haben kann

        Dank Tabbed Browsing _muss_ ich das zum Glück nicht mehr.

        gruß,
        wahsaga

        --
        /voodoo.css:
        #GeorgeWBush { position:absolute; bottom:-6ft; }
        1. Wozu soll ich diesen Zusatzaufwand betreiben müssen?

          Müssen nicht unbedingt, nur um irgendwelchen hinterhältigen Tricks vorzubeugen, wenn man unsicher ist.

          Daß das lästig ist, da gebe ich Dir ja durchaus recht, aber das ist hier nicht die Frage.

          Was mich interessiert ist, was ich Leuten mitteile, die JS deaktiviert haben und meine Seite ansehen wollen, die eben ohne JS nicht geht. Wenn man da zumindest die Möglichkeit bietet, eine Extraseite mit fundierten Informationen aufzurufen, dann ist das allemal besser, als nur das 'JS oder Tschüss'-Ultimatum zu stellen.

          Ist das nachvollziehbar?

          1. hi,

            Was mich interessiert ist, was ich Leuten mitteile, die JS deaktiviert haben und meine Seite ansehen wollen, die eben ohne JS nicht geht.

            Da wäre doch zunächst mal interessant, _warum_ deine Seite "ohne JS nicht geht" ...?

            Wenn man da zumindest die Möglichkeit bietet, eine Extraseite mit fundierten Informationen aufzurufen, dann ist das allemal besser, als nur das 'JS oder Tschüss'-Ultimatum zu stellen.

            Von vornherein günstiger wäre es aber oftmals, sie gar nicht vor diese Wahl stellen zu müssen.
            Unobstrusive javascript wäre ein Stichwort.

            Jemanden, der Javascript bewusst abgeschaltet hat, weil er sich über die Risiken im Klaren ist, und sie gegen den potentiellen Nutzen für sich persönlich abgewogen hat, wirst du auch mit deiner "Auflistung" kaum umzustimmen vermögen.

            gruß,
            wahsaga

            --
            /voodoo.css:
            #GeorgeWBush { position:absolute; bottom:-6ft; }
            1. Da wäre doch zunächst mal interessant, _warum_ deine Seite "ohne JS nicht geht" ...?

              Eigentlich spielt das ja keine Rolle, aber um Deine Neugier zu befriedigen:
              Es geht um Tieraufnahmen, die teilweise in Sequenzen automatisch abgespielt werden sollen, um Verhaltensweisen darzustellen.

              Meine Idee ist, das Ganze als Ajax-Applikation zu strukturieren.

              Das hat den Vorteil, daß ich Inhalte von der Darstellung trennen kann und die Abläufe als XML-Datei erstellen und pflegen kann.

              In die XML-Datei wird u.a. eingetragen, mit welcher Darstellungsmethode eine Einheit dargestellt werden soll. Ich kann dann Software und Inhalte getrennt bearbeiten.

              1. Hi Houyhnhnm,

                man kann mit JS sinnvollen Zusatznutzen implementieren, aber sollte doch stets seine Seiten so basteln, dass sie auch ohne JS funktionieren. Das ist doch fast immer ohne Probleme nötig.

                Ich surfe faast immer mit abgeschaltetem JS, weniger aus Sicherheitsbedenken, sondern weil ich dann deutlich weniger Unsinn und Werbung lade.

                Viele Grüße
                Mathias Bigge

                1. Die Ajax-Anwendungen von Google & Co. funktionieren ohne JS garantiert nicht.

                  1. Hallo.

                    Die Ajax-Anwendungen von Google & Co. funktionieren ohne JS garantiert nicht.

                    Logisch, und?
                    MfG, at

  4. Welche Sicherheitsrisiken geht ein, wer Javascript in seinem Broswer zuläßt?

    http://www.heise.de/security/dienste/browsercheck/
    Hier z.b. die aktuellen im IE http://www.heise.de/security/dienste/browsercheck/demos/ie/
    und MZ
    http://www.heise.de/security/dienste/browsercheck/demos/nc/
    und OP
    http://www.heise.de/security/dienste/browsercheck/demos/op/

    Mir fallen in diesem Zusammenhang Crosssite-Trixereien ein, die von Phishern benutzt werden.

    Das geht schon seit NC 3 nicht mehr.

    Struppi.