Moin!

* was hat das mit Bookmarklets im Speziellen bzw. JavaScript im Allgemeinen zu tun? Scripte laufen in einer Sandbox und kommen im Normalfall (d.h. ohne Browserbugs) nicht an Betriebssystem-Aufrufe

Nun, ich habe bereits meine Fanasie angeworfen - und mich entschlossen, das Ergebnis für mich zu behalten, denn es käme einer Anleitung zu massenhaftem Betrug gleich.

Falls du damit sagen willst, dass du eine entsprechende Sicherheitslücke gefunden hast – von etwas anderem kann man in diesem Zusammenhang nicht sprechen – wäre es wohl das Beste, die Browserhersteller darauf hinzuweisen. Es gibt da draußen genug schlaue Leute wie du, die ihr Wissen ebenfalls geheim halten, um es auf schädliche Art und Weise einzusetzen.

Oder bedeutet deine Aussage, dass die Diskussion über Bookmarklet-Sicherheitslücken auf BugTraq weitergeführt wird?

Nur so viel: Das mit der Sandbox ist eine Fiktion.

Bei einer vernünftigen Programmierung der Sandbox nicht.

JS kann zwar keine Systemcalls absetzen, aber das ist auch garnicht nötig. Es reicht ein kleiner Trojaner, der sich unbemerkt im System festgesetzt hat - davor ist auch Linux nicht sicher.

Und was hat nun JavaScript mit diesem Trojaner zu tun? JavaScript kann mit dem Trojaner nichts anfangen, weil es aus dem Browser nicht herauskommt und der Trojaner kann mit JavaScript nicht viel anfangen, weil er nicht an die JavaScript-API und -Interpreter des Browsers herankommt.

* Windows interessiert mich nicht, ich bin mit meinem iBook und meiner Linux-Kiste glücklich.

Das ist sehr kurzsichtig:

Wenn du meinst. In meinem aktuellen Tätigkeitsbereich taucht Windows sehr selten auf: Auf einigen Notebooks von Kommilitonen und auf ein paar Computern im PC-Pool im Fachbereich Mathematik. Die Physiker sind wenigstens vernünftig, da stehen überall Linux-Kisten herum.

Außerdem: Warum soll ich meinen Blick auch noch auf ein System richten, von dem praktisch keiner der mir näher bekannten Menschen auch nur halbwegs in der Lage ist, es zu beherrschen? Windows ist teilweise schlampig programmiert, verfügt über eine höhere Dichte an Sicherheitslücken, bringt eine Menge an unnützer Software mit, läuft nur auf einer Plattform (OK, Mac OS X auch) und hat eine inkonsistente GUI, vor allem eine inkonsistente Konfiguration. Gerade letzteres ist mir aufgefallen, seitdem ich Windows nur noch selten sehe: Mit Intuition und Logik komme ich dort nicht weit, während z.B. der Mac schnell erkundet war. Und Unix/Linux sind zwar auf Grund der Software-Vielfalt auch inkonsistent, aber es gibt trotzdem Grundregeln, mit denen man sich zurecht findet, z.B. das man-System oder die Howtos.

Ich befürchte zwar, dass Windows auch weiterhin eine Zukunft hat und dass ich mich damit ab und zu beschäftigen muss, aber solange ich weiterhin unter Unix arbeiten kann und die Windows-Arbeit gut bezahlt bekomme, will ich mich nicht beklagen.

• Mag sein, daß Du Windows doof findest. Nur: Es ist das OS mit der größten Verbreitung und Probleme, die es macht, fallen für Otto Normalverbraucher auf die Computertechnik im Allgemeinen zurück.

Ich bin von meinem Trip in die Computertechnik im Großen und Ganzen zurückgekehrt und wieder bei der Physik angekommen. Natürlich ist es heutzutage unerlässlich, dass man als Physiker auch Programmieren kann, aber mit dem Otto Normalverbraucher hat meine Arbeit nur wenig zu tun. Oder wozu braucht dieser Software zur Auswertung von Messwerten?

• Ich vermute, daß das bei Linux nicht viel anders ist, denn es benutzt in den grafischen Oberflächen ein ähnliches Nachrichtenschema.

In den grafischen Oberflächen – du hast es erkannt. Weil unter Unix bzw. Linux die GUI vom System getrennt ist und es darüber hinaus gleich mehrere GUIs gibt, wird es dein Trojaner u.U. schwierig haben. Ich benutze unter Linux z.B. weder KDE noch GNOME, sondern Blackbox und als Browser den Mozilla.

• Sicherheitsprobleme zu individualisieren, ist ungefähr so schlau, wie das Hochwasserrisiko auf den einzelnen Grundstücksbesitzer abzuwälzen.

Moment, ich individualisiere keine Sicherheitsprobleme! Ich habe lediglich gesagt, dass mich Windows nicht interessiert, ich habe keine Aussage über den einzelnen Computernutzer getroffen. Einige Sicherheitsprobleme, die mit Windows auftreten sind in der Tat Crossplatform, aber die Mehrheit der Windows-Lücken ist Windows-spezifisch wie die meisten Mac-Lücken Mac-spezifisch sind.

Viele Grüße,
Robert