ich möchte diese Frage einfach mal Blauäugig
in den Raum stellen.
Warum?
Allerorts wird zur Zeit das Sicherheits-
problem diskutiert und hier werden immer
Active X-Java-Java Script genannt.
Tja das Problem als 08/15 Surfer ist aber
ohne die obengenannten Sachen werden
inzwischen viele Webpages garnichtmehr
oder nur sehr häßlich dargestellt.
Aktiviere ich diese ganze Chose habe ich
ein Sicherheitsproblem (wie groß weiß ich nicht).
Sind es zwingende, funktionelle Gründe um J/JS/AX einzusetzen oder geht es hier in
erster Linie um die Gestaltung?
Sind es zwingende, funktionelle Gründe um
J/JS/AX einzusetzen oder geht es hier in
erster Linie um die Gestaltung?
Hallo Robert,
zumindest die Techniken Java/Javascript sind von der Konzeption her sicher. Leider werden jedoch immer wieder „Sicherheitslöcher“ vor allem bei den Browsern entdeckt, die es erlauben Dinge mit diesen Techniken anzustellen, die eigentlich nicht möglich sein sollten. Dieses Problem gilt aber grundsätzlich für alle Softwareprodukte: Sie gelten nur so lange als sicher, bis mal wieder jemand eine Lücke entdeckt und damit das Gegenteil beweist.
Bei ActiveX ist das etwas anderes, da mit solchen Komponenten grundsätzlich z.B. ein Zugriff auf die Festplatte im Client möglich wäre. Hier muß man sich eben überlegen von wem man ein solches Control akzeptiert. Wenn z.B. die eigene Hausbank ActiveX Controls beim Online-Banking einsetzt ist das sicher etwas anderes als wenn einem irgendeine Warez Seite so ein Teil unterjubeln will.
Für viele Internetapplikationen, gerade bei E-Commerce Seiten oder Online-Berechnungen, gibt es heute für Entwickler zu Javascript keine Alternative wenn Funktionalität auf Clientseite (im Browser) implementiert werden soll. Du mußt also Javascript eingeschaltet lassen um solche Dienste nutzen zu können, auch wenn man auf manche grafische Javascript-Gimmicks verzichten könnte. Das gleiche gilt übrigens auch für die von Dir gar nicht erwähnten Cookies, um die ja ebenfalls sehr kontrovers diskutiert wird. Sie sind das einzige Mittel für Programmierer eine Benutzersitzung bzw. „Session“ zu verfolgen, z.B. um nach der Anmeldung bei einer Site die gesamte Sitzung in einem bestimmten Sicherheitskontext laufen zu lassen. Die Gefahr für den Anwender liegt hier darin wie die Daten ausgewertet werden, die während so einer Verfolgung einer Session anfallen.
Kurz und Gut: Ein gewisses Risiko hat jeder, der auch nur E-Mail benutzt oder ganz allgemein seinen Rechner durch einen Internetzugang mit der Außenwelt verbindet. Der Nutzen der von Dir angesprochenen Technologien wiegt aber die damit verbundenen Risiken heutzutage allemal auf, wenn man sie dort zuläßt, wo einem der Anbieter einer Internet-Dienstleistung vertrauenswürdig erscheint.
Gruß
Peter
Was mich auch noch an J/JS stört ist die
Instabilität die es auf genügend Systemen
hervorruft, unabhängig davon ob der Browser
schuld ist oder nicht, ist aber da.
Zu Cookies: Diese kann ich mit geeigneter
Software (zB. CookiePal) kontrollieren
oder einfach nur ablehnen.
Wobei hier aber auch inzwischen die Funktionalität bei einigen Webseiten leidet.