Java, JavaScript und ActiveX
Gefahren und Risiken

Auf dieser Seite möchte ich die Gefahren von "JAVA" und "ActiveX" erklären und gegeneinander abwägen. Diese Seite befaßt sich dazu kurz mit der technischen Arbeitsweise, allerdings nicht mit der Programmierung von Java-Programmen/ Applets oder ActiveX-Elementen. Sie werden entsprechend keine Applets u.ä. auf dieser Seite finden!

Am Ende der Seite finden Sie mein persönliches Fazit, zwei Demos und einige Links.

Was ist Java - wie funktionieren Java-Programme bzw. Java-Applets

Java ist eine Programmiersprache, die ursprünglich für die Programmierung von Elektrogeräten gedacht war (und dort auch eingesetzt wird). Erfinder ist SUN.
Java ist vom WWW unabhängig und auf allen Betriebssystem-Plattformen lauffähig.
Man muß unterscheiden zwischen Java-Programmen und Java-Applets
- Java-Programme sind vollwertige Anwendungen, die auf Rechnern genauso lauffähig sind, wie andere Applikationen. Da diese unabhängig vom WWW sind, werden sie hier nicht weiter betrachtet.
- Java-Applets bestehen aus Programmcode, der nur auf einem Browser lauffähig ist. Sie laufen dort innerhalb der sog. "Sandbox".
- Javascript ist eine ursprünglich von Netscape entwickelte Scriptsprache, die sich an Java anlehnt, aber nur als Erweiterung des Browsers läuft.

Was ist ActiveX

ActiveX ist eine von Microsoft entwickelte Technologie, die aus mehreren Componenten besteht (z.B.OCX-Bedienelementen).
ActiveX-Elemente greifen sind Bestandteil des Betriebssystems (dadurch sehr schnell), was aber zur Folge hat, daß diese nur auf Windows-Rechnern laufen (MAC/OS in Planung).
Bei ActiveX gibt es keine Unterscheidung zwischen Programmen und "Applets".

Wie funktionieren Java-Applets

Der Java-Sourcecode wird in Maschinensprache übersetzt
Zur Ausführung müssen "Klassenbibliotheken" zur Verfügung stehen
Sie laufen nur in einem java-fähigen Browser
Der Maschinencode wird vor der Ausführung u.a. auf Richtigkeit, Virenfreiheit und Konformität mit den Java-Spezifikationen überprüft.

Wie funktioniert ActiveX

ActiveX-Elemente werden durch den Browser sozusagen nur aufgerufen und laufen dann unabhängig (außerhalb des "Einflußbereiches" des Browsers).
Zur Ausführung muß hier die sog. Java Virtual Machine (Java VM) zur verfügung stehen.

Was dürfen Java-Applets bzw. was dürfen sie nicht

dürfen nur das, was ihnen die "Sandbox" zugesteht - dadurch wir "untrusted code" zu "trusted code"
dürfen nicht auf Speicher (oder andere Hardware) direkt zugreifen
dürfen keine Betriebssystemfunktionen aufrufen
darf nicht auf das File-System des Rechners (Clients) zugreifen
darf keine Netzwerkverbindungen aufbauen

Was dürfen ActiveX-Elemente

dürfen alles, was Windows (DLLs) auch darf. Hierzu gehören insbesondere
- Zugriff auf den gesamten Arbeitsspeicher
- Aufruf aller Betriebssystemfunktionen
- Zugriff auf das File-System des Clients
- Nutzung des Netzwerkanschlusses

Gefahren durch Java-Applets

gering, da durch Bytecodeverifier, und "Sandbox" abgesichert
Risiken treten nur durch Programmierfehler (Bugs) in den Browsern auf

Gefahren durch ActiveX-Elemente

sind unüberschau- und nicht einschätzbar

Schutzmechanismen für Java/ Java-Script und ActiveX

Netscape Navigator

Abschalten von Java bzw. Java-Script (getrennt). Hierdurch ist eine Gefährdung durch Programm-Bugs (bei Java) 100%-ig auszuschließen. ActiveX ist prinzipiell nicht möglich

Microsoft Internet Explorer:

Verschiedene Sicherheitsstufen (wenig, mittel, hoch, individual). Diese bezieht sich dann sowohl auf Java, ActiveX, Cookies und Plugins!

Fazit:

Bei Java bleibt aufgrund von (möglichen) Bugs ein gewisses Restrisiko bei der Nutzung von Applets. Darüberhinaus ist es möglich, daß die Privatssphäre (z.B. Übermittlung der zuletzt besuchten Seite) gestört wird (siehe auch Netscape Navigator Seite).

Bei ActiveX ist das Sicherheitsrisiko unübersehbar, da der Zugriff auf alle Funktionen des Rechners möglich sind. Auch wenn durch verschieden Zertifizierungsmethoden und einstellbaren Sicherheitsebenen eine theoretische Verminderung der Risiken möglich ist. Meine persönliche Meinung: Hände weg von ActiveX - also konsequentes Abschalten aller ActiveX-Funktionen (beim MS IE - was dann aber auch bedeutet, daß keine Plugins mehr geladen werden können) oder die konsequente Nutzung eines Browsers, dar gar kein ActiveX unterstützt (hier ggf. Java und JavaScript deaktivieren).

Selbsttests
Wenn ich Sie noch nicht überzeugen konnte, dann probieren Sie es doch selbst einmal. Internet Explorer laden und die Beispiele ausführen. Allerdings übernehme ich keine Verantwortung für das Betreten dieser Seiten.

Beispiel 1:. Diese Demo führt bei einem Windows 95-Rechner mit dem MS IE einen kompletten Shutdown durch und aktiviert ggf. eine vorhande Stromsparschaltung.
Beispiel 2: Ausspionieren von Daten
Beispiel 3: Zeigt unter Windows 98 und Windows 2000 die Microsoft Registrierungsdaten an. Damit werden nicht nur die Möglichkeiten vonActiveX demonstriert, sonder es wird auch gleich die allgemeine Security- und Privacy-Einstellung von Microsoft demonstriert!

Und die Bitte an alle Entwickler und Webmaster: Keine ActiveX-Elemente auf Web-Pages.

Übrigens: Mit dieser Einschätzung stehe ich nicht alleine, sonder bekomme Unterstützung von prominenter Stelle!

Ein weiteres Thema, über dessen Sicherheitsgefahren viel Unwissendheit und Unsicherheit existiert und das Sie vielleicht interessieren könnte, ist der Einsatz von Cookies!

Links

JavaSoft	die Tochet von SUN, bietet allgemeine Informationen über Java
JUG	die deutsche Java User Group
ScriptActive	das ActiveX-Plugin für Netscape (meine Meinung:äußerst fragwürdig!)

ActiveX	das offizielle "Whitepaper" vom Microsoft

Haben Sie sich schon in meinem Gästebuch eingetragen?
Bei Fragen und Problemen posten Sie bitte in meinem Internet- und Security-Forum.
In besonderen Fällen erreichen Sie mich auch per E-Mail!

Sie hören "Equinoxe IV" von Jean Michèle Jarre

(Diese Seite wurde erstellt am 12.10.1997,
der letzte Update fand statt am 16.04.99)

Java, JavaScript und ActiveX Gefahren und Risiken