Auf HTML-Seiten einsetzbare
Script-Sprache, die Ähnlichkeiten zu C und
JAVA hat. Ursprünglich von
Netscape als Script-Sprache
für den Navigator entwickelt. Wurde später dann zum
Standard.
Javascript wird zwischen dem Kopf und dem Körper einer
HTML-Datei notiert. Es hilft
bei der Erstellung von Seiten mit dynamischen Elementen
(siehe z.B. die Menusteuerung auf dieser Seite).
Zugriffe
auf die das Filesystem (d.h. die Festplatte) des Users
sind nicht möglich, damit ist eine Reihe von
Sicherheitsproblemen ausgeschlossen. So kommen Javascript-Programme
nicht an auf der Festplatte gespeicherte Informationen heran.
Allerdings ist bzw. war Javascript
anfällig für zwei Arten von Attacken
auf User. Sog. Denial of Service Attacken
(DOSA) und sog. Spoofing-Attacken.
Bei einer DOSA wird ein Javascript ausgeführt, das versucht die
Ressourcen des Browsers oder des gesamten Computers aufzubrauchen,
in dem es z.B. uendliche viele Alert-Fenster öffnet oder versucht
uendlich viel Hauptspeicher zu belegen. Ziel der Attacke ist es
den Computer des Nutzers lahmzulegen. Durch einen erzwungenen
Neustart können zuvor nicht gespeicherte Daten verloren gehen.
Zu einer Preisgabe von geheimen Daten kommt es nicht.
Bei einer Spoofing-Attacke versucht das
Javascript-Programm dem User durch Vortäuschen gefälschter
Eingabeaufforderungen geheime Daten wie Username, Password usw.
zu entlocken.
Neuere Implementationen von Javascript zeigen daher in jedem Fenster
einen Text (wie z.B.: "Javascript") der den Fenster-Ursprung anzeigt.
So läßt sich eine gefälschte Aufforderung zur Paßworteingabe von
einer echten unterscheiden. Das bedeutet aber nicht, daß es jetzt
mit Javascript nicht mehr möglich ist andere Spoofing-Attacken
durchzuführen.
Gegen Spoofing hilft nur ein wacher Verstand. Man sollte sich immer
die Frage stellen, ob die Eingabe, zu der man aufgefordert, berechtigt
ist.
Werbung:
|