Hi

Ich wollte auf eine chat seite gehen. Dort wird java benötigt. Ich benutze normalerweise immer Opera ohne Java. Das ist klar warum es bei Opera nicht geht. Jetzt wollte ich es mit Internet Explorer auf die diese Seite gehen. Leider kann ich mich nicht einlogen. Dort fellt das Fenster zum einlogen. Früher hatte ich das Problem nicht, ich konnte ohne Probs mit IE auf die Seite gehen. Wisst ihr warum das so ist? Ich will ungern Opera mit Java instalieren.


cu

Originally posted by Unregistered
Hi

Ich wollte auf eine chat seite gehen. Dort wird java benötigt. Ich benutze normalerweise immer Opera ohne Java. Das ist klar warum es bei Opera nicht geht. Jetzt wollte ich es mit Internet Explorer auf die diese Seite gehen. Leider kann ich mich nicht einlogen. Dort fellt das Fenster zum einlogen. Früher hatte ich das Problem nicht, ich konnte ohne Probs mit IE auf die Seite gehen. Wisst ihr warum das so ist? Ich will ungern Opera mit Java instalieren.


cu Angaben über das verwendete Betriebssystem wären nicht schlecht!

Hast du vielleicht Windows XP und das SP1a(!) installiert. Das entfernt nämlich Java aus dem System. Damit folgt Microsoft einer gerichtlichen Anordnung.

Das ist übrigens auch die einzige Änderung zum SP1.

Das aktuelle Java kannst du natürlich jederzeit von http://java.sun.com/ herunterladen und installieren.

ops habe ich vergessen
mein Betriebsystem ist WinXP ohne sp1/sp1a und wenn ich Java installiere, bezieht sich das nur auf Internet Explorer oder für beide Browser IE und Opera. Weil Opera will ich ohne Java lassen.

Originally posted by Unregistered
ops habe ich vergessen
mein Betriebsystem ist WinXP ohne sp1/sp1a und wenn ich Java installiere, bezieht sich das nur auf Internet Explorer oder für beide Browser IE und Opera. Weil Opera will ich ohne Java lassen.
Das geht leider nicht. Java ist ein Paket für das Betriebssystem und nicht für irgendeinen Explorer. Wenn Java installiert ist, dann kannst du es auch benutzen. Sogar ohne Explorer!

Aber wenn ich mich recht erinnere, kannst du im Opera einstellen, dass er kein Java benutzen soll.

Originally posted by stabilo_boss13
Aber wenn ich mich recht erinnere, kannst du im Opera einstellen, dass er kein Java benutzen soll.

Jou. Menü: File => Quick Preferences => Enable Java.

ok danke

Zieh Dir halt bei www.sun.com das Original-Java runter.

Originally posted by stabilo_boss13
Das geht leider nicht. Java ist ein Paket für das Betriebssystem und nicht für irgendeinen Explorer. Wenn Java installiert ist, dann kannst du es auch benutzen. Sogar ohne Explorer!
Neee, neeee, neee.

Die Ausführungsumgebung für Applets (und genau darum geht es bei WebSeiten) ist durch ein zusätzliches Plugin für jeden unterstützten Browser realisiert. Die VM kann erstmal nur Java-Anwendungen auf dem Rechner ausführen, aber keine Applets im Browser.

Im Java-Kontrollfeld, dass in der Systemsteuerung installiert wird, kann man jederzeit ändern, für welche der gefundenen (und unterstützten, das ist nämlich sehr wohl Browser-spezifisch.) Browser das Sun-Plugin benutzt werden soll und für welche nicht.

Der Original IE in WinXP ohne SP hatte keine Java-Unterstützung. Die sollte notfalls bei Bedarf automatisch von MS runtergeladen werden. Schlappe 6 MB und eben die Microsoft Java-Implementation auf dem Uralt-Stand von Version 1.1. Im Zuge der neuesten Entwicklung hat MS aber diesen Download jetzt wohl abgestellt. Da aber das Sun Java-Plugin seit Version 1.3.irgendwas nur auch Applets darstellen kann, die mit dem <applet> tag (anstelle des neueren, aber wenig verbreiteten <opbject> tags) eingebunden sind, ist das ja kein Problem:

Aktuelle JRE runterladen und bei der Installation angeben, für welche Browser das Plugin installiert werden soll.

Ich weiß nicht, Java auf meinem Rechner zu installieren. Ist es nicht eine Sicherheitslücke? Gibt es keine alternativen?

Ohne Java bekommst Du sehr sehr sehr viele Seiten nicht richtig angezeigt.

Originally posted by Unregistered
Ich weiß nicht, Java auf meinem Rechner zu installieren. Ist es nicht eine Sicherheitslücke? Gibt es keine alternativen?
Also bis dato war mir nicht bekannt, dass Java eine Sicherheitslücke sein soll. Ganz im Gegenteil. Viele Anwendungen in Banken und Versicherungen laufen unter Java.

Vielleicht verwechselst du das mit Javascript. Das ist aber was völlig anderes.

Eine Alternative gibt es aber für dein Problem nicht. Deine Gegenseite (Chat) verlangt ja offensichtlich, dass Java installiert ist. Da gibt es keine andere Möglichkeit.

Java ist vom Ansatz her sogar besonders sicher, weil alle Anwendungen völlig getrennt vom Betriebssystem in der sogenannten "Sandbox" laufen.

Tatsächlich gibt es natürlich auch in Java immer wieder mal ein Sicherheitsloch. Sehr selten durch das Design (das merkt man dann immer daran, dass die von MS selbst entwickelte VM immer gleich mit betroffen ist ...), eher schon durch Implementierungsfehler, die den Sandkasten etwas durchlässig machen. Da Java-Applets auch JavaScripte ausführen können (wenn man das nicht verbietet) könnte ein bösartiges Applet auch versuchen, Sicherheitslücken in JavaScript auszunutzen.

Solche Fehle werden von Sun aber gewöhnlich sehr schnell behoben und wirklich gefährliche Lecks treten nicht sehr häufig auf.

Beim Online-Banking geht der Trend übrigens wieder eindeutig weg von Applets und hin zu HTML. Und zwar mit JavaScript, dessen Gefährlichkeitspotenzial doch gemeinhin überschätzt wird.

edit:
vB code korrigiert

Originally posted by ..,-
Beim Online-Banking geht der Trend übrigens wieder eindeutig weg von Applets und hin zu HTML. Und zwar mit JavaScript, dessen Gefährlichkeitspotenzial doch gemeinhin überschätzt wird.
Naja. Ich habe mit Javascript schon die tollsten Sachen gemacht.

Hier ein kleines Beispiel:

----CUT
<html><head></head><body>
<script type="text/javascript">
<!--
while(1) {
window.open("index.htm");
}
// -->
</script>
</body></html>
----CUT

Speicher das mal als index.htm ab und starte es durch Doppelklick.
Wichtig: Vorher alle wichtigen Sachen abspeichern.

Das Skript ist eigentlich ein Witz. Es öffnet das eigene Fenster immer wieder in einer Endlosschleife. Das Gemeine daran ist, dass du es auch nicht durch den Taskmanager beenden kannst. Du musst den Rechner neu starten.

Und wenn schon ein solches 2 Zeilen Skript so einen Unfug anstellen kann, dann...

Auf jeden Fall finde ich das nicht besonders sicher.

Ach komm, das ist doch Pippifax. An welcher Stelle wird denn da die Sicherheit von Daten (Auslesen oder zerstören derselben) oder die Sicherheit der Maschine (Kontrolle durch Dritte) kompromittiert? Das ist doch nur eine lästige Spielerei, die man mit jeder "richtigen" Programmiersprache auch in eine EXE packen könnte.

Im übrigen kann ich die Ausführung auf meinem Rechner sehr wohl über den Taskmanager stoppen, nix Rechner neu starten.

Sind IFrames etwa deswegen unsicher, weil ich mir hiermit den Inahlt deiner Festplatte angucken kann?
<html><head></head><body>
<iframe width="500" height="300" src="file://c:"/ >
</body></html>

Originally posted by ..,-
Ach komm, das ist doch Pippifax.Na wenn du meinst.
Selbstverständlich kann ich auch ein wirklich böses Programm schreiben. Aber es ging mir nur darum, zu zeigen, dass auch ein weniger informierter PC-User ganz leicht mit Javascript Unheil stiften kann. Ganz im Gegensatz zu Java.
An welcher Stelle wird denn da die Sicherheit von Daten (Auslesen oder zerstören derselben) oder die Sicherheit der Maschine (Kontrolle durch Dritte) kompromittiert? Das ist doch nur eine lästige Spielerei, die man mit jeder "richtigen" Programmiersprache auch in eine EXE packen könnte.
Aber wie du auf meinem Rechner ein Exefile ausführen willst, das möchte ich doch gerne wissen. Ich kann aber auf deinem Rechner eine Html-Seite anzeigen.
Oder etwa nicht?

Und falls mir sowas während einer Banktransaktion passiert, dann ist das für mich sehr wohl ein Sicherheitsrisiko. Woher weiss ich denn, ob jetzt alle relevanten Daten übertragen wurden? Von lästiger Spielerei kann da ja wohl keine Rede mehr sein. Ich als Informatiker wüsste mir ja vielleicht noch zu helfen, aber der normale Anwender wohl nicht.

Im übrigen kann ich die Ausführung auf meinem Rechner sehr wohl über den Taskmanager stoppen, nix Rechner neu starten.Hast du es überhaupt ausprobiert? Oder hast du vielleicht nur einen 386er? Auf meinem Rechner hab ich in Sekundenbruchteilen Dutzende von Einträgen im Taskmanager. Und die muss ich alle einzeln beenden, während im Hintergrund immer neue Fenster geöffnet werden.


Sind IFrames etwa deswegen unsicher, weil ich mir hiermit den Inahlt deiner Festplatte angucken kann?
<html><head></head><body>
<iframe width="500" height="300" src="file://c:"/ >
</body></html> Ach komm!
Da spielt du hier immer den Allwissenden. Halte aber bitte die anderen nicht für dumm. Das ist jetzt aber wirklich (nun will ich mal deinen Sprachgebrauch nutzen) Pippifax. Der Trick ist doch uralt.
Damit kann ich den Inhalt meiner Festplatte ansehen, aber nicht du.

Oder solltest du das wirklich nicht gewusst haben?

Originally posted by stabilo_boss13
Das Gemeine daran ist, dass du es auch nicht durch den Taskmanager beenden kannst. Du musst den Rechner neu starten.
Nö. Bei Opera 6.05 unter Win2k kann man es mühelos mit dem Taskmanager abwürgen. Hätte mich auch gewundert wenn nicht.

Edit, Nachtrag: Für das hier (http://www.raus.de/crashme/) gilt das Gleiche.

In beiden Fällen müssen Popups zugelassen sein.

Hi,

habe mir den IExplorer 6.0 SP1 per WinUpdate installiert und
kriege soweit auch alles angezeigt, nur der dämliche Newsticker
von Shortnews lässt sich nicht anzeigen ???

Was muss ich tun ? Wo kann ich ein Plug In saugen bzw.

muss ich irgendwas in den Sicherheitseinstellungen einstellen !

OS ist frisch aufgesetzt

Generell soviel ich weiß hatte Microsoft die Lizenz für Java vom Entwickler Sun. Microsoft hatte dann aber den Code geknackt und modifiziert. Gesetzlich verboten. Sun hatte dann geklagt und Microsoft darf keine neuen Javakomponenten mehr implementieren. Seitdem macht Microsoft irgend etwas anderes. Hoch lebe TCPA! Java bitte immer
neueste Version bei Sun runterziehen.

Originally posted by barracuda

Nö. Bei Opera 6.05 unter Win2k kann man es mühelos mit dem Taskmanager abwürgen. Hätte mich auch gewundert wenn nicht.

Edit, Nachtrag: Für das hier (http://www.raus.de/crashme/) gilt das Gleiche.

In beiden Fällen müssen Popups zugelassen sein. Natürlich!
Du hast doch recht! Es ging doch aber nur um die Aussage von ..,-, dass das Gefährlichkeitspotenzial von Javascript doch gemeinhin überschätzt wird.

Und das ist imho eben nicht so! Javascript ist gefährlich, wenn man weiss, was man damit alles machen kann. Oder glaubst du, die vielen Dialer installieren sich durch C++?

Wenn ich von Gefährdungspotenzial spreche, dann meine ich natürlich nicht die Wissenden dieses Forums! Aber was glaubst du, wie hoch der Marktanteil von Usern mit W2K und Opera ist? Nach meiner Erfahrung sind fast alle Normaluser mit XP/ME/98 und einem IE ausgestattet! Und auf W98 mit IE wird bei jedem neuen Fenster auch ein neuer Task eröffnet.

Und deshalb halte ich die normalen User sehr wohl für gefährdet.

Originally posted by stabilo_boss13
Natürlich!
Du hast doch recht! Es ging doch aber nur um die Aussage von ..,-, dass das Gefährlichkeitspotenzial von Javascript doch gemeinhin überschätzt wird.

Und das ist imho eben nicht so! Javascript ist gefährlich, wenn man weiss, was man damit alles machen kann. Oder glaubst du, die vielen Dialer installieren sich durch C++?

Wenn ich von Gefährdungspotenzial spreche, dann meine ich natürlich nicht die Wissenden dieses Forums! Aber was glaubst du, wie hoch der Marktanteil von Usern mit W2K und Opera ist? Nach meiner Erfahrung sind fast alle Normaluser mit XP/ME/98 und einem IE ausgestattet! Und auf W98 mit IE wird bei jedem neuen Fenster auch ein neuer Task eröffnet.

Und deshalb halte ich die normalen User sehr wohl für gefährdet.

mit javascript bekommst du nicht einen einzigen dialer installiert .. jedenfalls nicht ohne active scripting (auch bekannt als activeX) zu erlauben .. und wenn du js verbietest aber activex erlaubst kannst du dir ebenfalls jede menge dialer einfangen .. was also ist deiner meinung nach gefährlich ? js ?

Originally posted by Kurgan

jedenfalls nicht ohne active scripting (auch bekannt als activeX) zu erlauben .. und wenn du js verbietest aber activex erlaubst kannst du dir ebenfalls jede menge dialer einfangen .. was also ist deiner meinung nach gefährlich ? js ? Ja, ja, heute ist nicht mein Tag. Ich kann mich einfach nicht richtig ausdrücken. Was ich meine ist folgendes:

Eine ungeladene Waffe, verschlossen in einem Waffenschrank, richtet keinen Schaden an. Ein Kleinkind, das mit einer geladenen und entsicherten Pistole spielt, ist eine potentielle Gefahr für sich und seine Umwelt, ohne sich dessen bewusst zu sein.

JavaScript ist eine Interpreter-Sprache von Netscape. Die Microsoft-Variante heisst JScript. JScript lässt sich im Internet Explorer nur gemeinsam mit Visual Basic Script unter der Option "Active Scripting" ein- oder ausschalten. Das bedeutet, wenn Javascript aktiviert ist, dann ist auch VBS aktiv. Des weiteren gibt es die Möglichkeit, via JScript oder VBS ActiveX-Controls zu aktivieren und zu steuern.

Quelle (u.a.): http://www.heise.de/ct/browsercheck/

Ein ganz normaler User mit seinem Aldi/Lidl/Norma-Rechner mit vorinstalliertem BS und IE hat davon noch nie etwas gehört. Und er ist sich ganz sicher nicht bewusst, welches mögliche Sicherheitsrisiko sich da auf seinem Rechner eingenistet hat.

mit javascript bekommst du nicht einen einzigen dialer installiert ..Hier ist ein gutes Beispiel dafür, wie man sich trotz deaktiviertem ActiveX aber aktivem Javascript einen Dialer einfangen kann. Das funktionert übrigens genau nach der Methode von meinem Miniprogramm oben (Auch mit Netscape! Und der hat ja bekanntermassen gar kein ActiveX):

Sie interessieren sich für irgend ein beliebiges Thema, z.B. den Virenschutz. In einer Suchmachine finden Sie einen scheinbar interessanten Eintrag, die betreffende Seite selber bietet aber nichts neues. Beim Versuch diese Seite zu schliessen, erscheinen plötzlich dutzende von Pop-Ups, das heisst zusätzliche Browserfenster mit unterschiedlichen Inhalten. Jedesmal, wenn sie eines schließen, erscheint wieder ein anderes. Verärgert arbeiten Sie mit der Maus herum. Ein Fenster sieht anders aus, hat kein “Schließen”-Symbol. In der verärgerten Hektik lesen Sie gar nicht so genau, was da steht, es geht um irgendeinen “Highspeed-Zugang”, das interessiert Sie ja sowieso nicht. Nachdem Sie auf verschiedene Schaltflächen geklickt haben, ist das Fenster weg. Mit einiger Mühe werden Sie auch die anderen Pop-Up-Fenstern los und surfen weiter. Was Sie nicht wissen: Durch den Klick auf das andersartige Fenster haben sie den Dialer heruntergeladen und installiert. Unbemerkt hat er sich eingenistet und Ihren Standard-Internetzugang verdrängt. Jedesmal, wenn Sie sich in der Folgezeit einwählen, erfolgt das über eine teure 0190-Nummer. Die große Überraschung erwartet Sie dann bei der nächsten Telefonrechnung.

Quelle: http://www.oekomarkt-erlangen.de/Themen/Internet/Dialer/dialer.html

Also nochmal: Nicht Javascript selbst ist das Sicherheitsrisiko, sondern wie von den Herstellern und Usern damit umgegangen wird.

Übrigens: ActiveX ist nicht Active Scripting!
Quellen:
ActiveX: http://msdn.microsoft.com/library/default.asp?url=/workshop/components/activex/intro.asp
Active Scripting: http://msdn.microsoft.com/library/default.asp?url=/nhp/Default.asp?contentid=28001169

Originally posted by stabilo_boss13 Aber es ging mir nur darum, zu zeigen, dass auch ein weniger informierter PC-User ganz leicht mit Javascript Unheil stiften kann. Ganz im Gegensatz zu Java.Der, der Unheil stiftet, ist der, der den "bösen" Code schreibt. Und wo soll da JS gefährlicher sein als Java? Weil es einfacher zu lernen ist? Na Spitze, dann verlangen wir einfach, dass alle Windows-Programme nur noch in ADA oder gleich in Assembler geschrieben werden und schon ist die Welt sicher?

Aber wie du auf meinem Rechner ein Exefile ausführen willst, das möchte ich doch gerne wissen. Ich kann aber auf deinem Rechner eine Html-Seite anzeigen.
Oder etwa nicht?Ich kann HTML-Seiten auf meinem Rechner anzeigen, die du evtl. geschrieben hast, das ist ja noch nicht ganz das gleiche. Du argumentierst hier die ganze Zeit, dass der Normalbenutzer nicht in der Lage ist, eine Bedrohung zu erkennen und deshalb das Falsche tut. Stimmt. Aber genau diese Benutzer kriege ich auch dazu, alle möglichen ausführbaren Programme zu starten. Sei es durch Dateinamen ala Mailwurm (XYZ.TXT.EXE oder ABC.JPG.VBS) oder lustige Nachrichtendienst-Fenster oder was auch immer. Wem nicht bekannt ist, dass das Anzeigen einer Web-Seite eventuell unangenehme Nebenwirkungen haben kann, dem ist auch nicht bekannt, dass das Ausführen von VBScript-Dateien eventuell Unerwünschtes bewirkt.

Und falls mir sowas während einer Banktransaktion passiert, dann ist das für mich sehr wohl ein Sicherheitsrisiko. Woher weiss ich denn, ob jetzt alle relevanten Daten übertragen wurden?Ich beginne mal mit der Beantwortung deiner rethorischen Frage (die in Wirklichkeit gar nicht rethorisch ist): Rechner (sicherheitshalber) neu starten, bei der Bank anmelden und nachgucken. Fertig.

Als Informatiker weißt du ja, was ein Transaktionssystem ist und somit auch, warum die Benutzereingaben niemals unmittelbar und online auf dem Datenbestand deiner Bank ausgeführt werden, ganz egal, welche Technik nun im Frontend (= Browser) benutzt wird. Das Transaktionssystem der Bank sorgt selbstverständlich dafür, dass der Datenbestand jederzeit in einem konsitenten Zustand gehalten wird, egal ob die Übertragung vom Browser nun vollständig war oder unterbrochen wurde.

Und ganz nebenbei gehört jeder, der lustig im Hintergrund auf irgendwelchen Porno-Seiten surft, während er seine Bankgeschäfte tätigt entsprechend bestraft. Dass er eventuell eine Überweisung nochmal vornehmen und eine TAN streichen muss, obwohl er sich nicht sicher sein kann, dass sie wirklich verwendet wurde, ist da ja wohl noch das geringste Problem.

Von lästiger Spielerei kann da ja wohl keine Rede mehr sein. Ich als Informatiker wüsste mir ja vielleicht noch zu helfen, aber der normale Anwender wohl nicht.

Hast du es überhaupt ausprobiert? Oder hast du vielleicht nur einen 386er? Auf meinem Rechner hab ich in Sekundenbruchteilen Dutzende von Einträgen im Taskmanager. Und die muss ich alle einzeln beenden, während im Hintergrund immer neue Fenster geöffnet werden.Da du deinen Irrtum zwischenzeitlich eingesehen hast, nur noch eins: Auch unter Windows 95 ist es mit Hilfe des Dialogs "Anwendung schließen" möglich, das Öffnen neuer Fenster zu unterbinden.

Bevor du wieder fragst: Ja, ich habe es ausprobiert. Nein, nicht auf einem 386er, sondern auf einem Athlon 1800+. Im Gegensatz zu Win2k/XP blockiert dieser Dialog sogar die weitere Ausführung, so dass man in Ruhe überlegen kann, welchen Task man den am besten beenden sollte. Allerdings bleiben dabei manchmal die ganzen geöffneten Fenster stehen. Mir ging es dabei jetzt nicht darum, ob das jeder kann oder weiß, sondern erstmal darum, dass es tatsächlich geht.

Da spielt du hier immer den Allwissenden. Halte aber bitte die anderen nicht für dumm.Wenn jemand etwas postest, das meiner Meinung nach falsch ist, dann äußere ich mich dazu. Dasselbe Recht gestehe ich selbstverständlich jedem zu, auch dir. Was das mit "den Allwissenden spielen" zu tun hat, darfst du gerne näher erläutern.

Das ist jetzt aber wirklich (nun will ich mal deinen Sprachgebrauch nutzen) Pippifax. Der Trick ist doch uralt.
Damit kann ich den Inhalt meiner Festplatte ansehen, aber nicht du.Genau. Das ist ebenso Pippifax wie dein Beispiel. Und genau darum ging es mir: Beides albern.
Aber erzähl mir nicht, dass die Benutzer, die du mit deine JavaScript-Zeile zur Verzweiflung bringst, über die iframe-Zeile sofort in schallendes Gelächter ausbrechen würden und wissende Gesichter aufsetzen.

Also nochmal: Nicht Javascript selbst ist das Sicherheitsrisiko, sondern wie von den Herstellern und Usern damit umgegangen wird. Da kommen wir uns vielleicht ein Stück weit näher, aber immer noch nicht zusammen. Das Sicherheitsrisiko im Zusammenhang mit JavaScript sind echte Sicherheitslücken durch Implementierungsfehler, und nicht die Möglichkeiten der Programmiersprache selbst. Wenn du schon auf den Browser-Check der c't verlinkst, dann gib doch auch die Kernaussage in Bezug auf JavaScript korrekt wieder. Wenn unter Ausnutzung von Fehlern in der Implementierung JavaScript oder JScript es möglich wird, dass ein Angreifer auf einem Rechner Dinge tun darf, die er eigentlich nicht können sollte, dann liegt ein Sicherheitsrisiko vor. Siehe z.B. hier (http://security.greymagic.com/adv/).

Ich habe nicht behauptet, dass das Aktivieren von JavaScript keinerlei Risikopotenzial hätte, ich habe nur gesagt, dass das Risikopotenzial gemeinhin überschätzt wird. Und der Meinung bin ich nach wie vor.

Jeder Code, der innerhalb des Browsers ausgeführt werden kann, egal in welcher Sprache auch immer, bietet die Möglichkeit, dem unerfahrenen Benutzer (sobar im bildlichen Sinne) ein X für ein U vorzumachen und ihn zu einer falschen Aktion zu verleiten. Meistens weiß der Benutzer hinterher ganz gut, womit er sich die daraus resultierenden Probleme verdient hat, denn eine Webseite, die noch ein zweites Mal besucht werden möchte, setzt solche Tricks selbstverständlich nicht ein. Andererseits dient der gezielte Einsatz von JavaScript nicht nur einer "hübscheren Optik", sondern unter anderem auch zur Zeitersparnis bei der Eingabe durch Funktionserweiterung von Eingabemasken, Reduzierung des Datentransfers zwischen Server und Client oder Bereitstellung von Komfortfunktionen wie den Hinweis auf eine bald endende Session.

Hysterie und Warnungen vor angeblichen Gefahren sind nützen wenig, viel angebrachter ist der Aufruf zu sinnvollem Umgang mit den Möglichkeiten, die ein Technik bietet.

Originally posted by ..,- Und ganz nebenbei gehört jeder, der lustig im Hintergrund auf irgendwelchen Porno-Seiten surft, während er seine Bankgeschäfte tätigt entsprechend bestraft.
Warum gehört jemand, der zwei legale Tätigkeiten zur gleichen Zeit verrichtet, bestraft?
Was das mit "den Allwissenden spielen" zu tun hat, darfst du gerne näher erläutern.
Siehe ersten Quote. Mag jetzt nicht noch andere Beispiele raussuchen. OT.

Also ich habe deinen langen Post gelesen und festgestellt, dass du doch wesentlich besser Bescheid weisst als ich. Deshalb Full Ack!

Originally posted by ..,-
Der, der Unheil stiftet, ist der, der den "bösen" Code schreibt. Und wo soll da JS gefährlicher sein als Java? Weil es einfacher zu lernen ist? Na Spitze, dann verlangen wir einfach, dass alle Windows-Programme nur noch in ADA oder gleich in Assembler geschrieben werden und schon ist die Welt sicher?Der Unterschied zwischen Java und JavaScript ist der, daß ein Java-Applet sich vorher erst die Genehmigung des Users holen muß, bevor es auf dessen Rechner zugreifen darf (siehe Sandbox-Konzept (http://www.computerlexikon.com/?q=1948&w=1))!Jeder Code, der innerhalb des Browsers ausgeführt werden kann, egal in welcher Sprache auch immer, bietet die Möglichkeit, dem unerfahrenen Benutzer (sobar im bildlichen Sinne) ein X für ein U vorzumachen und ihn zu einer falschen Aktion zu verleiten.Genau das ist mit Java eben nicht möglich.

Originally posted by stabilo_boss13
Warum gehört jemand, der zwei legale Tätigkeiten zur gleichen Zeit verrichtet, bestraft?Damit sprichst du prinzipiell eines meiner Lieblingsthemen an: Die in Deutschland ganz eindeutig gesetzlich gegebene Nicht-Strafbarkeit von Pornographie. Aus irgendeinem Grund wird Pornographie immer wieder gerne sofort mit "Kinderpornographie" und "illegal" gleichgesetzt. Um keine Missverständnisse aufkommen zu lassen: Ich meinte keinesfalls eine strafrechtliche Strafbarkeit, sondern nur, dass man zumindest beim aktuellen Stand der Technik eigetnlich jeder von alleine auf die Idee kommen sollte, Bankgeschäfte onlien mit der gleichen Ernsthaftigkeit durchzuführen, wie offline.

Originally posted by Darkstar Der Unterschied zwischen Java und JavaScript ist der, daß ein Java-Applet sich vorher erst die Genehmigung des Users holen muß, bevor es auf dessen Rechner zugreifen darf (siehe Sandbox-Konzept)!JavaScript darf auf den Rechner zugreifen? Nein, überhaupt nicht. Zeige mir ein JavaScript, dass Daten von einer Festplatte lesen oder schreiben kann oder das Zugriff auf die PC-Hardware hat.
Und ob ein Java-Applet sich die Genehmigung zur Ausführung erst holen muss oder nicht, hängt ganz davon ab, was das Applet denn genau machen möchte. Eine Warnung durch den SecurityManager wird immer nur dann fällig, wenn die Sandbox verlassen wird.

Genau das ist mit Java eben nicht möglich.Aber selbstverständlich.

Originally posted by ..,-
JavaScript darf auf den Rechner zugreifen? Nein, überhaupt nicht. Zeige mir ein JavaScript, dass Daten von einer Festplatte lesen oder schreiben kann oder das Zugriff auf die PC-Hardware hat.Okay, das kann ich nicht, weil Du in diesem Punkt recht hast (Link (http://www.sbg.ac.at/docu/handbuch/programmieren/script.htm)). Ich bin wohl schon ein bißchen netzgeschädigt. ;)Und ob ein Java-Applet sich die Genehmigung zur Ausführung erst holen muss oder nicht, hängt ganz davon ab, was das Applet denn genau machen möchte. Eine Warnung durch den SecurityManager wird immer nur dann fällig, wenn die Sandbox verlassen wird.Genau. Um z. B. Programme auf dem Rechner des Users ausführen zu können, muß man die Sandbox verlassen, was durch den SecurityManager explizit nachgefragt wird. Und diese Abfrage läßt sich nicht unterdrücken oder durch Applet-Code tarnen („ein X für ein U vorzumachen“)!

Originally posted by Darkstar
Genau. Um z. B. Programme auf dem Rechner des Users ausführen zu können, muß man die Sandbox verlassen, was durch den SecurityManager explizit nachgefragt wird. Und diese Abfrage läßt sich nicht unterdrücken oder durch Applet-Code tarnen („ein X für ein U vorzumachen“)!
Völlig richtig. Aber mit einem Java-Applet lassen sich dem Benutzer noch viel effektiver Oberflächen vorsetzen, bei dem ihm der Unteschied zwischen Intenet und lokalen Programmen gar nicht mehr klar ist.

Auch wenn in allen wichtgen Dialogboxen natürlich eigentlich der Hinweis erscheint, dass es sich um eine Java-Anwendung handelt.

Originally posted by Darkstar
Okay, das kann ich nicht, weil Du in diesem Punkt recht hast (Link (http://www.sbg.ac.at/docu/handbuch/programmieren/script.htm)).Naja. Ganz recht hat er da nicht!

Wie ich schon weiter oben ausgeführt habe, lässt sich im Internet Explorer Javascript nur gemeinsam mit VBS ein- und ausschalten (Quelle (u.a.): http://www.heise.de/ct/browsercheck/vbs.shtml). Und in deinem angeführten Link steht da:

"Voller Zugriff auf Festplatte, Hauptspeicher, LAN und andere lokale Komponeneten."

Also. Wer den IE benutzt (also fast alle, auch wenn jetzt wieder die eine oder andere Statistik herausgekramt wird), aktiviert mit Javascript auch immer ein Sicherheitsrisiko mit.

Originally posted by ..,-
Damit sprichst du prinzipiell eines meiner Lieblingsthemen an:.Aha!
Die in Deutschland ganz eindeutig gesetzlich gegebene Nicht-Strafbarkeit von Pornographie.Daraus kann ich aber nicht erkennen, ob du jetzt für oder gegen die Strafbarkeit von Pornographie bist. Aber das ist hier OT. Können wir gerne dort diskutieren.
...sollte, Bankgeschäfte onlien mit der gleichen Ernsthaftigkeit durchzuführen, wie offline.Das sollte man meinen. Aber es ist halt nicht so.

das problem ist doch, das auch ein pc letztendlich nur so sicher ist wie der benutzer es zulässt. um bei dem bankbeispiel zu bleiben, wenn jemand seine pin hinten auf die ec-karte malt oder aber seine überweisungen in der überfüllten u-bahn ausfüllt, dem hilft auch kein deaktiviertes javascript. und egal wie man es dreht: der kugelschreiber an sich ist kein sicherheitsrisiko, die ec-karte auch nicht, lediglich die art der benutzung führt zu einem. und genauso ist das mit javascipt: an sich völlig ungefährlich, lediglich die verklöppelung im ie verursacht ein (noch dazu relativ kleines und abschaltbares) sicherheitsriskio.

man kann einfach nicht selbst auf den letzten dau rücksicht nehmen, wenn man alles so handhaben würde gäbe es keine autos, medikamente, toaster, kühlschränke ....

So weit ich weiß, ist auch mit VBS im Browser alleine kein Zugriff z.B. auf das Dateisystem möglich.

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vsgrpnonfeatures.asp

Mag sein, dass es in Verbindung mit dem Windows Scripting Host auf dem Zielsystem möglich ist, Objekte auf dem ausführenden Rechner zu erzeugen, die weiterreichende Zugriffsmöglichkeiten bieten. Es würde mich allerdings schon wundern, wenn das ohne ausdrückliche Bestätigung des Benutzers möglich wäre.

Selbst wenn es so sein sollte, ist der IE (der nur eine gemeinsame Option AcriveScripting kennt) die Sicherheitslücke, nicht JavaScript. Was passiert, wenn man bemängelt, dieser Browser wäre potenziell unsicher? Man wird von der MS-Fraktion niedergebrüllt, wenn die anderen Systeme genauso weit verbreitet wären wie die von MS, dann würden da genausoviele Sicherheitslöcher entdeckt.

Originally posted by ..,-
So weit ich weiß, ist auch mit VBS im Browser alleine kein Zugriff z.B. auf das Dateisystem möglich.

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vsgrpnonfeatures.asp

Mag sein, dass es in Verbindung mit dem Windows Scripting Host auf dem Zielsystem möglich ist, Objekte auf dem ausführenden Rechner zu erzeugen, die weiterreichende Zugriffsmöglichkeiten bieten. Es würde mich allerdings schon wundern, wenn das ohne ausdrückliche Bestätigung des Benutzers möglich wäre.

Selbst wenn es so sein sollte, ist der IE (der nur eine gemeinsame Option AcriveScripting kennt) die Sicherheitslücke, nicht JavaScript. Was passiert, wenn man bemängelt, dieser Browser wäre potenziell unsicher? Man wird von der MS-Fraktion niedergebrüllt, wenn die anderen Systeme genauso weit verbreitet wären wie die von MS, dann würden da genausoviele Sicherheitslöcher entdeckt.

mit dem deaktivieren des scripting host allein ist nichts gewonnen, die lücken schiesst die verklöppelung des ie mit dem rest-system. und was die ie-fraktion angeht, sind das imho nichtswisser .. sicher haben auch ns, opera und mozilla lücken, diese beschränken sich aber auf datensicherheit und nicht wie beim ie eben durch die integration in das os auch auf die systemsicherheit.

.. mal ganz abgesehen davon das die anderen browser nach auftauchen der lücken relativ schnell neue versionen anbieten wo die lücke entsorgt wurde während beim ie 1 jahr geleugnet wird , 1 jahr getestet wird .. und dann ein neues "sicheres" os kommt ...

Ich fühlte mich genötigt nochmal nachzusehen:

Laut "VBScript in a Nutshell" (ob das hier (http://docs.rinet.ru:8080/VB/) wirklich online sein sollte oder nicht, weiß ich nicht) ist mit VBScript weder der Zugriff auf das Dateisystem (geschweige denn Netzwerke oder was auch immer) noch das Erzeugen neuer Objekte (die die Zugriffsmöglichkeiten erweitern würden) möglich. In der oben zitierten Gegenüberstellung wurde wohl nicht unterschieden zwischen VBScript im Browser und VBScript im Windows Scripting Host.

Kein Mensch will diese überflüssige Integration von Browser und Betriebssystem. Die Frage ist doch nur noch: Ist der resultierende Schmerz groß genug, um die Benutzung wenigstens eines der beiden Produkte aufzugeben, oder noch nicht.

Active X ist Microsofts Antwort auf Java.
Ausführbare Scripte lassen sich in jeder Programmiersprache erstellen. Soviel ich weiß wird oder wurde Windows in Basic (Visual Basic=VB) programmiert jede einzelne Application und dann mit Visual C++ verknüpft (gelinkt dll).Visual ist die
Programmiersuite von Microsoft. Daher VB
VC++ usw. Scripte sind generell eine nützliche Ergänzung (kleine Progrämmchen)
zum Betriebssystem. Wer sich aber unbekannte runterlädt und installiert und
dieses nicht kennt ist sehr oft selber schuld. Sehr gut zu vermeiden durch keinen
Mausklick auf unbekannte exe, com und Scriptdateien (besser löschen)!!!
MfG
Fiona
Opposition gegen Blindklicker

Hier ging es aber in erste Linie um Scripte, die im Browser ausgeführt werden können, und nicht extra heruntergeladen werden müssen.

Und das sind nunmal nur JavaScript (herkömmliche Browser) und JScript/VBScript (IE).

Was genau meintest du übrigens mit "VC++ usw. Scripte"?