Java und Java Script

  • Hallo, ich habe jetzt schon öffters gelesen das man Java im Browser ausschalten sollte. Bei mir ist bei den Extras bei Java und Java Script ein Haken. Sollte ich das aus Sicherheitsgründen lieber deaktivieren?
    Gruss jackflack

  • Da gibt es keine einfache Antwort.

    Bei Java ist es einfacher, nur wenige Seiten brauchen Java. Wenn man also keine Seiten besucht die Java benötigen stört es nicht abzuschalten.

    Bei Javascript sieht das anders aus, fast jede Seite braucht heutzutage Javascript.
    Hier müsstest du anders vorgehen, also wenn du da wirklich Bedenken hast mit einer White- oder Blacklist arbeiten, die Javascript auf einzelnen Seiten aktivieren/deaktivieren.

    Sowas muss dann natürlich gepflegt werden und ist Arbeit. Und es ist überhaupt nicht gesagt das damit alles in Butter ist, denn es ist auch durchaus Möglich das, für dich vertauensvolle, Seiten schadhaften Javascript eingebunden haben. Und dann ist der Effekt dahin.

    Mein Tipp ist insoweit:
    Wenn du nicht wirklich weißt was da läuft, und du nicht gewillt bist Arbeit in Funktionierende Filter/Listen zu investieren, lass Javascript an.
    Ein einfaches Abschalten kommt auf jeden Fall nicht in Frage.

    Einmal editiert, zuletzt von Palli (23. August 2008 um 17:36)

  • Danke damit ist mir erst mal geholfen. In einigen anderen Foren wird gennerell vor der Java gefahr gewarnt, obwohl ich das eigenlich nicht so sehe.
    Besten Dank und Gruss (auch für noch folgende Antworten)
    jackflack

  • Mit Java kann man Programme in eine Webseite einbetten, die dann auf dem lokalen PC Daten manipulieren könnten. Allerdings muss man bei Java normalerweise alle Schreibzugriffe explizit genehmigen. Es ist also wesentlich schwerer mit einem Java-Applet Unheil anzurichten als mit ActiveX, das sich wenn es einmal genehmigt wurde ganz beliebig auf dem PC austoben kann.

    Man kann festhalten, dass Java heute kaum noch in Webseiten benutzt wird (das ist auch Unsinn: Warum muss man denn Programme einbetten, anstatt sie zum Download anzubieten) und dass man theoretisch zwar viel Sinnvolles, aber auch Bösartiges damit tun könnte. Gefährlich wird es nur dann, wenn eine Sicherheitslücke in der Java Runtime Environment entdeckt wird, die einen Ausbruch aus der Sandbox ermöglicht. Dann könnte es nämlich sein, dass eine Webseite ohne Zutun des Nutzers lokale Daten manipulieren kann.
    Es ist sicher nicht verkehrt, Java im Browser zu deaktivieren und falls man es doch mal benötigt, temporär zu aktivieren.

    JavaScript ist längst nicht so mächtig und ich würde es auch nicht als gefährlich bezeichnen. Gefährlich ist lediglich die Tatsache, dass es in den Browserimplemantationen von JavaScript gelegentlich Fehler gibt, die sich für Datenmanipulation und Schadsoftware missbrauchen lassen. Wie Palli aber bereits sagte, ist das mit dem Deaktivieren nicht so einfach, denn viele Seiten verwenden heute JavaScript. Nicht unbedingt weil es sein muss, sondern oft auch einfach nur "weil es cool und modern ist" bzw. "weil man das doch heute so macht". Wenn du es deaktivierst, werden viele Seiten nicht mehr korrekt funktionieren. Die wenigsten Seiten kommen ganz ohzne JavaScript aus oder stellen zumindest eine javascriptfreie Alternative bereit. Manchmal überprüfen Seiten, ob JavaScript verfügbar ist und geben eventuell einen Hinweis aus (gern verbirgt man die eigene Unfähigkeit dann hinter dem Hinweis "Ihre Browsereinstellungen sind nicht kompatibel zu unserer supermegatollen Seite, bitte verwenden sie einen javascriptfähigen Browser!")
    Das eigentliche Problem an JavaScript ist aber, dass man dem Benutzer damit auf die Nerven gehen kann. Werbepopups, Rechtsklick"verhinderer", nicht schließbare Fenster und Flutung mit Alert-Boxen - alles das ermöglichst JavaScript.

    Vielleicht wäre NoScript oder YesScript für dich interessant. Ersteres verbietet JavaScript global und ermöglicht es, es auf vertrauenswürdigen Seiten manuell wieder zu aktivieren (Whitelist), letzteres kann JavaScript auf bestimmten Seiten blocken (Blacklist).

  • Eine Lücke im Javascript das Zugriff auf die Chrome-Ebene vom Firefox ermöglichst, bietet dem Angreifer die Rechte des Benutzers (unter Windows meist Administrationsrechte). Ganz ohne ist das nicht.

    Aber das kann man für eigentlich jede x-beliebige Technik sagen. Hier hilft nur das regelmäßige Aktualisieren der Software.

    Hierbei möchte ich auf den Umstand hinweisen, dass alle Welt auf Java und Javascript (oder noch besser: Cookies) rumhackt. Plugins wie Windows Media Player, Quicktime, Realplayer oder auch Flash sind viel häufiger im Einsatz und werden meist nie aktuell gehalten, strotzen also meist auf den Rechnern vor Sicherheitslücken. Und da hilft dann auch kein aktueller Browser oder das deaktivieren von Java oder Javascript.

  • Wenn man schon Javascript aus Sicherheitsgründen abschaltet sollte man Browser besser gar nicht mehr verwenden. Sicherheitstechnisch sind Browser sowieso eine Katastrophe.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von bugcatcher

    Aber das kann man für eigentlich jede x-beliebige Technik sagen. Hier hilft nur das regelmäßige Aktualisieren der Software.

    ...und für den Normaluser vielleicht das Surfen ohne Admin-Rechte...

  • Zitat von Boersenfeger

    ...und für den Normaluser vielleicht das Surfen ohne Admin-Rechte...


    Niemand braucht ständig Admin Rechte.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat von DasIch

    Niemand braucht ständig Admin Rechte.

    Da gebe ich dir vollkommen recht, manche hier bestehen aber darauf, das sie mit Admin Rechten surfen und alles easy ist. Deswegen Normaluser in phätt. Ich zähle mich zu denen und bin auch mit einem eingeschränkten Konto im Netz.:wink:

  • Das Problem ist eher, dass es unter Windows nur Fortgeschrittenen möglich ist, vernünftig ohne Admin-Rechte zu arbeiten (zumindest, wenn man nicht ständig wechseln will). Es ist ja keinesfalls damit getan, einfach einen neuen Hauptbenutzer- oder besser Benutzeraccount anzulegen und dann einfach mit reduzierten Rechten zu arbeiten. Wenn es funktionieren soll, muss man noch an so einigen Berechtigungseinstellungen drehen, was z. B. in der Home Edition von XP ohne Hilfsmittel gar nicht möglich ist. Auch die User Account Protection von Vista hat nicht wirklich etwas mit "Arbeiten mit reduzierten Rechten" zu tun - im Prinzip ist sie nichts weiter als volle Adminrechte + nerviges Nachfragen.

    Unter *nix gab es schon immer ein Rechtesystem, das darauf ausgelegt war, nur mit so vielen Rechten wie unbedingt nötig zu arbeiten - deshalb funktioniert das dort auch so gut. Unter Windows wurden solche Features aber erst nach und nach eingebaut und wirken wie ein nur teilweise integrierter Aufsatz. Die Tatsache, dass manche Programme nach wie vor Adminrechte einfach voraussetzen und sich die Programmierer manchmal offensichtlich gar keine Gedanken darüber gemacht haben, ob es auch ohne Adminrechte lösbar wäre, macht ein vernünftiges Berechtigungssystem unter Windows nicht wirklich einfacher.

  • Zitat von PIGSgrame

    Das Problem ist eher, dass es unter Windows nur Fortgeschrittenen möglich ist, vernünftig ohne Admin-Rechte zu arbeiten (zumindest, wenn man nicht ständig wechseln will).


    Servus,
    da möchte ich ganz kleinlaut widersprechen.
    ich bin der PC-Depp schlechthin.
    Mit eurer Hilfe habe ich mir vor mehreren Wochen
    ein eingeschränktes Konto eingerichtet.

    Für das, was ich hier mache reicht das prima aus.
    Bei manchen Sachen muss ich halt mit der rechten Maustaste
    auf "ausführen als...." klicken.

    Natürlich versteht ein Experte vielleicht unter vernünftig arbeiten was anderes als ich.
    Aber wie gesagt, mir langts.

  • Zitat von ruda38

    Für das, was ich hier mache reicht das prima aus.
    Bei manchen Sachen muss ich halt mit der rechten Maustaste
    auf "ausführen als...." klicken.

    Genau sowas meine ich. Letztendlich bringen solche Notwendigkeiten doch das ganze Sicherheitskonzept wieder durcheinander. Stelle dir vor, eine Anwendung funktioniert nicht und vielleicht gehört sie sogar zu den etwas vorbildlicheren, die Adminrechte anfordern und nicht einfach ein Zugriff verweigert etc. ausspucken. Woher willst du nun wissen, dass das Programm die eingeräumten Adminrechte nicht missbrauchen wird? Auch eine Schadsoftware kann jederzeit anzeigen, dass sie gern Adminrechte hätte. Wenn du diese dann bereitwillig erteilst, waren alle Sicherheitsbermühungen für die Katz.

    Solange Programmierer noch immer völlig gedankenlos Adminrechte anfordern - nicht weil das Programm sie benötigt, sondern weil gegen veraltete Bibliotheken gelinkt wurde, die man nicht optimieren und auch nicht neu schreiben konnte/wollte, bringt es relativ wenig, sich selbst einzuschränken. Spiele fordern z. B. nahazu immer Adminrechte. Wozu denn nur? Wieso meint eine graphisch unterstützte Simulation (nichts anderes ist ein "Spiel"), dass sie volle Kontrolle über meine Systemeinstellungen braucht? Der Grund ist, dass man gar nicht bereit ist, sich um die Nutzbarkeit unter reduzierten Rechten zu bemühen.

    Viel, viel ausgereifter ist das das Berechtingungssystem unter unixoiden Betriebssystemen. Dort käme eine normale Anwendung, die einfach ein paar Berechnungen ausführen soll, niemals auf die Idee, Systemverwaltungsrechte anzufordern. Jeder etwas erfahrene Linux-Benutzer wurde ein Anwendungsprogramm, für das man sich jedes Mal als root einloggen soll, sofort in die Tonne treten. Unter *nix funktionieren die seit Jahrzehnten etablierten Berechtigungsstrukturen wirklich - unter Windows wirkt es immer nur wie ein jämmerlicher Versuch, etwas seit Äonen Überfälliges mehr schlecht als recht in bestehenden Code zu integrieren.

    Den Vogel schießt in dieser Hinsicht die UAC unter Vista ab. Dort haben alle Nutzer standardmäßig volle Administratorrechte, spielen aber, dass sie keine hätten. Wenn dann zum hundertsten Mal eine nervige Nachfrage auftaucht, genehmigt man auch jeder Schadsoftware den Systemzugriff - allein deswegen, weil man die Warnmeldungen oft gar nicht voll versteht und noch öfter nicht einschätzen kann, ob im jeweiligen Fall das Erteilen von Adminrechten positive oder negative Auswirkungen hat.

    Die c't brachte neulich übrigens einen gelungenen Seitenhieb auf die Unsinnigkeit der UAC.

  • Der Rechtsklick und "Ausführen als" wird hier nur genutzt, wenn ich mir im Klaren bin, warum es sein muss. Beispiel wäre SECUNIA. Es ist imho trotzdem sicherer als eingeschränkter Benutzer zu Surfen als ständig mit Admin Rechten. Bedenke meinen Zusatz "als Normaluser" :wink:

  • Zitat von PIGSgrame

    Unter *nix gab es schon immer ein Rechtesystem, das darauf ausgelegt war, nur mit so vielen Rechten wie unbedingt nötig zu arbeiten - deshalb funktioniert das dort auch so gut.


    Nicht wirklich, das Rechtesystem ist, wie der Rest des Systems auch, einfach darauf ausgelegt dass mehrere User damit arbeiten können, wenn sie wollen auch gleichzeitig.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Das ist doch aber kein Widerspruch - natürlich ist ein Mehrbenutzersystem vordergründig dazu gedacht, dass mehrere Nutzer damit arbeiten können. Trotzdem gilt die Philosophie, dass jeder dieser Nutzer so wenig Rechte wie sinnvoll möglich haben soll. Und das finde ich unter Linux wesentlich konsequenter durchgesetzt, weil dort so ziemlich alle Anwendungen ebenfalls an diesem Strang ziehen und man nicht jedem Programm eine Extrawurst braten muss.

  • Zitat von PIGSgrame

    Und das finde ich unter Linux

    Arrgh, wieder mal Linux vs. Windows. Ich kotze gleich, der TO hat vermutlich nun mal Windows.......
    PS: Warum bist du eigentlich versteckt, PIGSgrame? :roll: