Die Grundsprache HTML ist überhaupt nicht in der Lage, auf den Besucher-PC zuzugreifen.
Javascript kann zwar Popups, graphische Scherze, rechnen etc. aber hat ebenfalls keine Funktionen, um auf dem Besucher-PC irgendwas zu installieren.
Die einzige Technik, um auf dem Besucher-PC was eingreifendes zu ändern ist Activex. Unzertifizierte Activex-Scripte sind standardmäßig im IE blockiert.
[/b][/url]
Das stimmt so leider nicht ganz.
1.
HTML kann durchaus Schaden anrichten. Sowas passiert aber nicht direkt und sofort. Das Problem liegt in der "Treppenverseuchung", also dem stufenweisen gezielten Ausbau der Sicherheitslücke im System, bis letztendlich über mehrere Phasen ein
Trojaner ins System geschleust werden kann ohne das er erkannt wird. Auch von Firewalls nicht. Siehe das Ende meines Beitrages.
2. ActiveX erwähnst du selbst.
3. Viel wichtiger sind aber JavaApplets, die sind ein riesengroßes Sicherheitsproblem meiner Meinung, und nirgends wird das zur Kenntnis genommen. Wer auf Seiten geht, die JavaApplets AUF DEINEM PC laden, und das tun ALLE Seitemn die JavaApplets nutzen (und du das zuläßt, die meisten tun das, die JavaScrpting aktiviert haben und Java-Sun installiert haben), dann starten diese JavaApplets Programme auf deinem PC. Normalerweise eine sichere Sache, weil das in sogenannten "Sandboxes" geschieht. Wer aber böses im Sinn hat, kann das umgehen und so jedes x-beliebige Programm auf deinem Rechner manipulieren. Das passiert aber sehr selten. Häufig sind PC ,- oder Programmabstürze weil einige Applets von sich aus fehlerhaft funktionieren.
Jeder, der heutzutage beispielsweise in einem modernen Chat chattet, oder auf Seiten wie BILD etc. geht, muss Java-Applets aktivieren, um entw. in den Chat zu gelangen, oder alle Website-Inhalte anzeigen zu können.
Ein viel größeres Problem ist aber mit diesen Dingern die Spionage. Ich kann mithilfe von Java-Applets sämtliche Rechnerdaten auslesen, ich kann in Teilen erkennen welche Programme du installiert hast, deine MAC-Adresse, deine RICHTIGE IP (falls du glaubst du surfst anonym oder hinter einem Router), und sogar deine Netzwerk-IP, also die interne IP hinter dem Router. Das nützt für Hacker erst einmal nicht direkt etwas, aber als Vorbereitung um ein
Netzwerk auszuspionieren beispielsweise, oder für Strafverfolgungsbehörden die so sehr einfach an deine IP kommen. Jdes javaApplet baut eine DIREKTE Verbindung zum angeforderten
Server auf, trotz Router, trotz
Firewall, weil das über den IE läuft. Daher auch die Möglichkeit, immer deine richtige IP oder Netzwerk-IP (und somit auch eindeutig den entsprechenden PC im
Netzwerk!!) zu ermitteln.
Nur um das mal klarzustellen.
Ansonsten find ich die Beiträge von Jüki sehr lustig, weil er nämlich zeigt, das man alles aktiviert haben kann was gern verteufelt wird, das man Outlook und Filesharingprogs nutzen kann, und trotzdem einen sauberen PC haben kann.
Und ich sags auch nochmal deutlich: Nicht ein Programm ist schuld an Verseuchungen, sondern der dumme User.
Thema Browser: Wieso ist der IE ein Sicherheitsrisiko, wenn der User zu dumm ist, ihn richtig einzustellen?
Wieso ist der
Firefox sicher, bloß weil der kaum Einstellmöglichkeiten zuläßt und man nicht viel falsch machen kann?
Der
Firefox ist NICHT sicher, im Gegenteil! Auf meinem System ist er zwar installiert, aber geblockt, und wird nur freigegeben für den Notfall, soll heißen: IE funzt nicht. Oder aber ich will einen Admin einer Website täuschen, der mich bisher über meine IE Einstellungen identifizierte. (Also Browsertyp, Version etc, was ja alles auslesbar ist)
Der beste Bowser ist der IE. Man muss ihn nur richtig konfigurieren, und wer ins
Internet geht, sollte sich verdammt nochmal damit befassen. Das gehört zu den Hausaufgaben die man machen muss.
Wer keine Fahrerlaubnis hat, kann auch nicht Auto fahren. Und kann dann auch nicht das "unsichere Auto" dafür verantwortlich machen, wenn er einen Unfall baut.
Wer simpelste Grundregeln beachtet kann gar nicht verseucht werden.
Und selbst WENN man mal "verseucht" sein sollte, ist das alles meist harmlos. Wenn man die Ruhe bewahrt und nichts überstürzt, überlegt vorgeht, passiert meist gar nichts. KEIN PC löscht dann vor deinen Augen dramatisch alle deine Daten. Solche Horroszenarien sind absolute Einzelfälle geblieben. Heutzutage betreiben Schädlinge ganz stille Spionage und Downloads, ohne an deinem System irgendwelche Daten zu ändern. Den Schaden richtet meist erst der aufgeschreckte User an, der hektisch Dateien löscht, die gar nicht verseucht, aber Systemrelevant sind. Es gibt auch Experten, die ihr gesamtes System bei kleinsten Spyware-resten neu aufsetzen. =) Sowas ist schon paraonoid.
Die Leute werden von Herstellern von Sicherheitssoftware auch bewusst nervös gemacht. Ich erinnere mich an die vor einigen Monaten von Symantec Produkten gemeldete angebliche Verseuchung einiger Systeme mit der Datei SVKP.sys, die angeblich infiziert, und ein Rootkit war. Sofort setzten einige ihr System komplett neu auf, "Experten" rieten (auch hier), dazu, dass zu tun, weil das System "kompromittiert" sei. Überall tauchten diese Wichtigtuer auf. Wer aber die Sache verfolgte und nachdachte, konnte ahnen, das dies nicht sein kann. (Weil es eben zb. nur User betraf, die ein bestimmtes LiveUpdate ausgeführt hatten) Aber es wurde blind dieser Warnmeldung geglaubt, und nicht dem gesunden Menschenverstand. Letztlich kam heraus, das es ein Fehler in Symantecs Live
Update einer Virendefinition war, die diese Meldung auslöste. Bis dahin hatten hunderte User ihr System schon platt gemacht. Wer nur einen stumpfsinnigen PC und zuviel Zeit hat, kann das ja machen. Aber Leute, die viele und teure Programme installiert haben, viele persönliche Einstellungen haben, können das nicht. Die sitzen dann nämlich an einem Systemwiederaufbau mehrere Tage.
Im übrigen zeigt ein Test des Chaos
Computer Club - um das mal am Rande zu erwähnen - das
Desktop Firewalls den PC nich sicherer, sondern unsicherer machen.
Link:
http://copton.net/vortraege/pfw/index.html Viel Spass