Moin!

Mittlerweile bin ich auf ein Thema gestoßen, wo in der Tat die Aktivierung von JS ein gewisses Risiko darstellt:

Bookmarklets

Riskant wirds aber, wenn der Ausruck z.B. ein Function-Objekt erzeugt, mit Code aus dem Internet lädt und anschließend direkt ausführt.

Ist nur die Frage: Wie kommt das Bookmarklet in die Bookmarks?

Richtig: Der User hat es dort absichtlich und wissentlich hineingetan!

Und wie wird das Bookmarklet aktiviert?

Richtig: Der User klickt es absichtlich und wissentlich an!

Das bedeutet: Selbst wenn es ein Bookmarklet gibt, was "ganz böse Sachen[TM]" tun kann, so ist es erstens noch lange nicht auf deinem Rechner als Bookmarklet gespeichert, und selbst wenn du es speicherst, so tut es solange nichts, bis du es nicht aktivierst.

Ich habe jedenfalls für mich beschlossen, daß für die wenigen Gelegenheiten, in denen ich per PIN/TAN auf meine Bankkonten zugreifen muß, eine VMware-5-Maschine mit Linux eingerichtet wird, die für Bankingsessions geklont wird, um sicher zu gehen, daß immer mit einem jungfräulichen Betriebssystem gearbeitet wird. (Das ist erfreulicherweise ein Feature von VMware Workstation 5.)

Da für Homebanking Javascript in den allermeisten Fällen aber wegen des Interfaces aktiv sein muß, hilft dir das nicht wirklich 100% weiter. Woher weißt du denn, dass nicht schon dein Jungfrauenimage böse Javascripte enthält?

Wenn schon paranoid, dann wenigstens richtig!

Ansonsten: NUR HBCI MIT KLASSE-3 CHIPKARTENLESER!

Das bieten die Banken ja leider nicht durchgehend an - etliche wechseln sogar zurück zu PIN/TAN und rücken HBCI nur noch auf energische Anfrage raus. Abgesehen von der Anschaffung des doch recht teuren Chipkartenlesers.

- Sven Rautenberg