Von Jo Bager
Browser sind Laufzeitumgebungen für dynamische Inhalte verschiedenster Art, allen voran für JavaScript-Programme. Kein Wunder, dass Angreifer immer wieder Sicherheitslücken in den JavaScript-Implementierungen der Browser suchen - und finden. Schaffen sie es dann, den Surfer auf eine mit bösartigem Code vorbereitete Seite zu locken, können sie dort zum Beispiel vertrauliche Daten auslesen oder gleich den gesamten Rechner unter ihre Kontrolle bringen.
Als Abhilfe nutzt es wenig, JavaScript prinzipiell abzuschalten, denn zu viele Websites setzen es mittlerweile voraus. Permanente Fehlermeldungen würden dann nur dazu führen, dass der Benutzer JavaScript eines Tages entnervt wieder aktiviert und diese Einstellung so belässt. Sinnvoller ist es, wenn er eine Auswahl vertrauenswürdiger Websites festlegen kann, bei denen - und nur bei denen - der Browser JavaScript verwenden darf.
Alternativ oder als Ergänzung sollte der Anwender die Skriptsprache bei Bedarf schnell ein- und wieder ausschalten können, etwa wenn er auf eine neue Site kommt, die sie voraussetzt. So kann er JavaScript grundsätzlich deaktivieren, es bei Bedarf aber zuschalten.
Opera bietet beide Möglichkeiten. Der Benutzer kann mit dem norwegischen Browser JavaScript als Grundeinstellung abschalten und für Websites, die es benötigen, individuell über das Kontextmenü "Seitenspezifische Einstellungen" einschalten. Darüber hinaus kann er es aber auch über die per F12 verfügbaren Schnelleinstellungen pauschal ein- und ausschalten.
Im Firefox legt der Anwender im Reiter "Inhalt" der Einstellungen nur pauschal fest, ob JavaScript aktiviert oder deaktiviert sein soll. Immerhin kann er dabei über den Knopf "Erweitert…" ein wenig nach den in Skripten erlaubten Aktionen differenzieren. JavaScript nur auf einer Auswahl von gewünschten Seiten zuzulassen, ermöglichen die eingebauten Optionen aber nicht.
Zur Site-weisen JavaScript-Konfiguration hat die Firefox-Gemeinschaft die Erweiterung NoScript herausgebracht. Das Programm führt eine Positivliste von Sites, von denen stammende JavaScripts und Java-Anwendungen Firefox ausführen darf. Besucht der Benutzer eine Website, deren JavaScripts er noch nicht freigegeben hat, so kann er dies über ein Icon in der Statusleiste des Browsers mit einem Mausklick nachholen - dauerhaft oder nur für die momentane Surfsitzung.
Der Internet Explorer handelt JavaScript in den Einstellungen für die verschiedenen Sicherheitszonen mit ab. Per Voreinstellung ist JavaScript nur in der Zone der eingeschränkten Sites abgestellt; in der "Standardzone" Internet darf JavaScript ausgeführt werden. Um die Ausführung von JavaScript nur einer handverlesenen Auswahl von Sites zu erlauben, sollte man es nur in der Zone der vertrauenswürdigen Sites zulassen. Dazu setzt man die Sicherheitsstufe der Zone auf "Hoch" und unter "Stufe anpassen" den Wert unter "Active Scripting" auf "Deaktivieren".
Bei Safari kann der Benutzer nur pauschal festlegen, ob JavaScript genutzt werden soll. Die betreffende Einstellung findet sich im Reiter "Sicherheit" der Programmeinstellungen, die sich am schnellsten mit der Tastenkombination Strg-Komma aufrufen lassen.
Die Bedienoberfläche von Googles Browser Chrome enthält überhaupt keine Option, mit der sich die Ausführung von JavaScript unterbinden lässt. Wer Chrome ohne JavaScript nutzen will, muss den Browser mit dem Kommandozeilenoption --disable-javascript aufrufen. Allerdings hat Google seinem Browser eine recht wirksame JavaScript-Sandbox verpasst: Bösartige JavaScript-Skripte können nur im Kontext ihrer Webseite beziehungsweise ihres Browser-Tabs Schaden anrichten; auf den gesamten Browser oder gar den PC erhalten sie keinen Zugriff.
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Gadgets | RSS |
| alles zum Thema Computersicherheit | RSS |
© SPIEGEL ONLINE 2009
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
