Netzwerke - Kompendium: Planen, organisieren, sichern

6 Browser-Sicherheit (S. 287-288)

Wer im Web unterwegs ist, lebt gefährlich. Malicious Code, Viren, Trojaner und anderes Ungeziefer lauern auf ihre Chance. Wer die Gefahren kennt, kann sich davor schützen. Das Web ist heute weit mehr als eine Sammlung statischer HTML-Seiten, so wie es vor 10 Jahren einmal begonnen hat. Auf Web-Seiten befinden sich heute Multimediakomponenten, dahinter stecken komplexe Datenbanken, ja sogar ganze Anwendungen laufen auf Web-Seiten. Die Funktionalität der einfachen HTML-Seite wurde damit zwar enorm erhöht, allerdings bringen Interaktivität und ausführbare Programme auch Gefahren. Ständig werden Sicherheitslöcher in Internet-Software entdeckt, besonders die Browser stehen in der Schusslinie. Die richtige Konfiguration von Internet Explorer und Netscape Navigator erhöht daher die Sicherheit.

Vor allem das Wissen, was da eigentlich alles passiert, führt zu mehr Verständnis und schließlich zu mehr Sicherheit. Zwischen der Funktionalität einer Web-Seite und der eigenen Sicherheit muss immer ein Kompromiss geschlossen werden. Als besonders gefährlich gelten die aktiven Inhalte.

6.1 Aktive Inhalte

Die größte Bedrohung im Web geht von den so genannten aktiven Inhalten aus, auch Mobile Code oder im Fall von bösartigen Programmen Malicious Code genannt. Das sind kleine Programme, die von einem Web-Server an die Clients gesendet und dort ausgeführt werden. Die Funktionalität einer Web-Seite lässt sich damit erheblich verbessern. Eingesetzt wird Mobile Code zum Beispiel bei interaktiven Abfragen zwecks persönlicher Gestaltung einer Seite über Datenbankabfragen aber auch schlicht für optische Spielereien wie Laufschriften oder 3D-Animationen. Es gibt zwei Typen ausführbarer Programme: Java-Applets und ActiveX-Controls.

Java

Bei der Java-API hat Hersteller Sun von Anfang an großen Wert auf die Sicherheit gelegt. Typische Programmierfehler sollten per Design ausgeschlossen werden. So gibt es eine genaue Bereichsüberprüfung von Arrays und Strings, um Pufferüberläufe zu vermeiden. Dies wird häufig ausgenutzt, um ausführ- Zeiger, um Fehler in der Speicherverwaltung zu vermeiden. Weiterhin wird der Arbeitsspeicher automatisch durch einen Garbage Collector gesäubert, um Speicherlöcher zu vermeiden. Java-Programme (Applets) laufen in einer so genannten Sandbox. Dies ist ein eingeschränkter Bereich, in dem das Programm laufen darf. Direkte Zugriffe auf Systemressourcen wie Festplatten, Arbeitsspeicher oder Windows-Funktionen sind nicht erlaubt. Es gibt zwar Möglichkeiten die Sandbox aufzubrechen, dennoch ist Java eine sehr sichere Sprache.

Java-Applets benötigen einen speziellen Interpreter, damit sie laufen können: die Java Virtual Machine (VM). Hin und wieder werden aber Implementierungsfehler der VM bekannt, die die Sicherheit beeinträchtigen. Ein Applet kann dann eventuell doch Zugriff auf das Dateisystem bekommen. Da Java-Programme (zumindest in der Theorie) plattformunabhängig sind, wirken sich Sicherheitsprobleme auf alle betroffenen Java-fähigen Betriebssysteme aus. Außer der VM von Sun gibt es eine ganze Reihe weiterer VMs anderer Hersteller wie zum Beispiel von Microsoft, wodurch Inkompatibilitäten entstehen. Java-Applets finden sich nicht allzu häufig auf Web-Seiten. Meistens werden sie für Spielereien benutzt, so dass man Java im Browser abschalten kann. Sollte Java dennoch für das Ausführen einer Web-Seite absolut erforderlich sein, erhalten Sie eine entsprechende Fehlermeldung, so dass Sie Java wieder kurzfristig aktivieren können.