Autorenbild

17. Jan 2012

Martin Przegendza

Archiv

JavaScript: Eine tickende Zeitbombe?

-ARCHIV-

Dossier Internet-Sicherheit: Teil 4

Hübsche Darstellung, aber ...

Eigentlich ist JavaScript eine feine Sache. Ein paar Zeilen Code im HTML-Kern einer Webseite reichen aus, um die schönsten Dinge darzustellen. Bildergalerien lassen sich durchklicken, ohne dass mit jedem neuen Bild die ganze Seite neu geladen werden muss. YouTube Videos lassen sich per iFrame einbinden und ausklappbare Seitennavigationen (Pull-down Menü) nutzen. Aber auch nervende Flash-Werbung und Pop-Ups werden per JavaScript ausgelöst. Webseiten-Betreiber können euch per JavaScript verbieten, die Seite zu verlassen oder die rechte Maustaste zu benutzen und können ferner Informationen über dich und dein Surfverhalten aufzeichnen. Und zu allem Überfluss nutzen Hacker Schwachstellen in JavaScript aus, um Schadcode auf eurem Rechner auszuführen und beispielsweise deine Bankdaten zu stehlen.

Sprengstoff zwischen HTML-Code

Im Gegensatz zu den statischen HTML-Inhalten von Webseiteinhalten (Text, Bild, etc.) wird JavaScript nicht auf dem Server des Seitenbetreibers ausgeführt, sondern im Browser des Benutzers. Er bekommt förmlich das Drehbuch für bestimmte Anwendungen und führt sie dann eigenmächtig oder per Klick aus. Das beginnt bei den CSS (Cascading Style Sheets – den Formatierungsvorlagen von Webseiten für die verschiedenen Browser) und endet bei Rollover-Grafiken, Laufschirften und Video-Einbindungen. Durch sogenannte Ajax-Anwendungen (Asynchronous JavaScript and XML) lassen sich die eigentlich statischen HTML-Seiten ohne Neuladen dynamisch verändern.

Die Skripte laufen dabei grundsätzlich in der Sandbox des Browsers ab. Das ist eine Art Sicherheitskäfig, der den Funktionsumfang der Skripte beschränken soll. So können JavaScripts weder Daten aus anderen Dateien lesen, noch selber in Dateien schreiben. Dadurch ist es nicht möglich, ein Skript in die eigene Webseite zu stellen, das beim Seitenaufruf die Festplatte des Nutzers löscht.

Eine Bombe namens XSS

Dazu müsste das Skript eine große Sicherheitslücke im Browser des Nutzers ausnutzen (die es aktuell bei keinem der gängigen Browser gibt). Angreifer können aber durch Cross Site Scripting (XSS) Schaden anrichten. Bei dieser Technik laden Angreifer unbemerkt ein schadhaftes Skript von einer dritten Seite. Links in Foren, Kommentarspalten oder E-Mails sind hier besonders beliebt. 

Im günstigsten Fall wirst du mit penetranter Werbung zwielichtiger Webseiten zugespammt. In weniger glücklichen Fällen verbreitet das Skript in deinem Namen Spam. Wenn es ganz blöd läuft, greift es deine Benutzerdaten ab oder entführt gleich die gesamte Benutzer-Session. Letzteres geschieht über den unbemerkten Diebstahl von Cookies, mit denen wir uns im nächsten Teil unserer Serie ausführlich beschäftigen werden. Mit dem Cookie können sich Angreifer für dich ausgeben und so in deinem Namen Spam verbreiten oder schlimmstenfalls einkaufen gehen. XSS ermöglicht es Angreifern aber auch, die Kontrolle über deinen Browser zu übernehmen.  

Plug-ins als Kampfmittelräumdienst

Um dem zu entgehen, bieten sich zwei Lösungen an: Du kannst einerseits JavaScript in deinem Browser komplett ausschalten. Da viele Webseiten aber auf JavaScript angewiesen sind, dient dieses Mittel lediglich als Ultima Ratio. Ohne JavaScript kannst du beispielsweise keine Videos mehr bei YouTube gucken. Daher bietet sich eine Lösung an, die einzelne Scripte gezielt blockieren kann. Die Plug-ins NoScript für Firefox und NotScript für Chrome bieten genau das. Mit einem Klick kannst du einzelne Scripte verbieten, während andere parallel weiterlaufen. 

Ein netter Nebeneffekt der Scriptblocker ist dabei, dass viele Werbeelemente, wie blinkende Flash-Anzeigen, ebenfalls blockiert werden. Zudem nutzen einige Webseitenbetreiber JavaScript, um Informationen über ihre Besucher zu sammeln (Tracking). Das wird ebenfalls blockiert.


Mehr zum Thema Internet-Sicherheit:

Dossier Internet-Sicherheit: Teil 1

Dossier Internet-Sicherheit: Teil 2

Dossier Internet-Sicherheit: Teil 3

Dossier Internet-Sicherheit: Teil 5

Artikel-Bewertung:

3.09 von 5 Sternen bei 138 Bewertungen.

Passende Artikel