Javascript gefährlich?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
ahnung
anwendung
beispiel
client
cracker
entwickler
fazit
fenster
firewall
hacker
hinweg
inhalt
leben
meisten
private
programmierer
quelltext
sache
sprache
technologie
-
Also ich h?r immer ?fter dass Javascript gef?hrlich sein soll und dass man es lieber abschalten sollte! Aber kann doch gar nicht sein oder, ich meine mit Javascript l?sst sich doch gar nichts auf dem PC des Users(au?er POPUPS erstellen)machen! Wieso s?ll man dann es abschalten?
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
ja und nein.
Javascript abschalten funktioniert (zumindest im IE9 ?ber das "h?herstellen" der Sicherheitsstufe.
Dabei werden aber insbesondere andere Scripts geblockt, Javascript ist dabei nur mit in den Filter gerutscht.
Prinzipiell k?nnte man sagen, du hast recht, da man mit Javascript wenig am PC ver?ndern kann. Da Javascript aber auf dem Clinet-PC und nicht auf dem Server ausgef?hrt wird, halten es viele Anwender f?r poentiell gef?hrlich. Viel gef?hrlicher allerings sind bestimmte Apllets und insbesondere fadenscheinige Downloads.
ich pers?nlich halte es f?r ?berfl?ssig, javascript abzuschalten, es sei denn man besucht oft Seiten einer bestimmten Sparte im Web...mit einigen X-en in der Adresse
?dit: boahh, was isn heute mit mir los?! schon wieder Tonnen von Tippfehlern...tztztz
Beitrag ge?ndert am 24.08.2005 20:10 von ssd_bonn -
So, also ich freue mich erstmal, das du den Pfad der Erleuchtung betreten hast, denn dieses ganze JavaScript-Zeugs ist, wie du es schon gesagt hast, wirklich harmlos. Das schlimmste, was man damit machen kann, ist den Computer zum Absturz bringen, aber auch nur, wenn man eine entsprechend pr?parierte Seite ansurft und von diesen Seiten gibt es nicht viele.
Das JavaScript gef?hrlich sein soll ist nur der altbekannte und von mir sehr gehasste Journalismus, wo Leute Artikel ?ber ein Gebiet schreiben, von dem sie keine Ahnung haben.
Wer glaubt, das JS wirklich eine Gefahr darstellt sollte gleich aus dem Internet wegbleiben.
Also, in diesem Sinne, JS ist einfach eine coole Sprache, mit der ich die meisten meiner Programme erstelle. -
Also ich h?r immer ?fter dass Javascript gef?hrlich sein soll und dass man es lieber abschalten sollte! Aber kann doch gar nicht sein oder, ich meine mit Javascript l?sst sich doch gar nichts auf dem PC des Users(au?er POPUPS erstellen)machen! Wieso s?ll man dann es abschalten?
js ist zu 110% nicht gef?hlich f?r dich als win oder tux nutzer, da es garkeine rechte hat datein auszuf?rhen zu l?schen zu instalieren usw.
das kann nur vbs unter win und das is gef?hrlich ich glaube der i love u virus war da in vbs geschrieben und hat ja wie gesehen nen sch?nen schaden angerichted js kann das nciht, js kann einen nur wie gesagt mit st?dnigen popups nerven^^.
ausschalten unter internetoptionen da kannste w?hlen ob du es nur im ie ausgeschaltet haben willst oder auch in den anderen browsern....
MfG
KRaeusi -
aufgrund von sicherheitsfehlern der javascript interpreter kann die kontrolle ?ber den PC ?bernommen werden. (bufferoverflow) . Um sicherer zu sein installiere SP2. Damit ist man ziemlich gut gesch?tzt.
JAVA script abzuschalten ist sinnlos da viele men?s und effecte drauf basieren.
mfg
edvo -
aufgrund von sicherheitsfehlern der javascript interpreter kann die kontrolle ?ber den PC ?bernommen werden. (bufferoverflow) . Um sicherer zu sein installiere SP2. Damit ist man ziemlich gut gesch?tzt.
JAVA script abzuschalten ist sinnlos da viele men?s und effecte drauf basieren.
mfg
edvo
?h, toll ?
Und wenn du dein Buffer-Overflow hinbekommen hast, was dann?
Welchen JavaScript Befehl willst du danach hinterherschicken, damit das System ?bernommen wird ?
Und mit SP2 hat das auch wenig zu tun.
Ist in meinen Augen Bl?dsinn...
Wie Kraeusi schon gesagt hat, JavaScript ist zwar Client-Seitig, kann aber nicht ?ber die Grenzen der Browser-Fenster heraus operieren. -
durch java script sind auch so sp??e wie zum beispiel phishing ?ber fenster hinweg m?glich, oder auch vort?uschen einer anderen seite m?glich. Richtig b?s ist active scripting, denn da gibst beim ie massenhaft sicherheitsl?cken.
fazit: solange javascript f?r die anwendungen gebraucht wird, wof?r es konzipiert ist, ist es ungef?hrlich. Aber sollten die entwickler bestimmt f?lle nicht abgefangen haben, ist es auch schon mal unangenehm -
disod schrieb:
durch java script sind auch so sp??e wie zum beispiel phishing ?ber fenster hinweg m?glich, oder auch vort?uschen einer anderen seite m?glich. Richtig b?s ist active scripting, denn da gibst beim ie massenhaft sicherheitsl?cken.
fazit: solange javascript f?r die anwendungen gebraucht wird, wof?r es konzipiert ist, ist es ungef?hrlich. Aber sollten die entwickler bestimmt f?lle nicht abgefangen haben, ist es auch schon mal unangenehm
also soll ich dich f?r deine bl?d heit bedauern oder schlagen?(thornet & judge: sorry aber das musste mal sein)
Java script, hat keine m?glich keit aus deinem browser raus zu kommen das hat windows nicht damals zugelassen und wird es auch cniht heute zulassen.
du redest vielleicht immmer mehr von vbs ohne zu wissen?!
js ist cniht gef?hrlich und das mit der seite vort?uschen nennt man popup und da wird ob man es glaubt oder nicht tats?chlich ne enue seite g?ffnet, also nicht nur vorget?uscht.
Wenn dir der IE zu unsicher ist, wie du sagst wieso benutzt du nicht einfach nen anderen browser wie opera, da haste bestimtm ncihts zu mekern da der mind. genausogut wie der ie ist und sich sogar als der ausgeben kann, oder wechsle gleich das os. warum cnith win 3.1?
da gibts ja noch kein js da brauchste also keine angst davor haben.
JS IST EINE REINE SERVER TECHNISCHE SACHE!
das hei?t das dies nur ausgef?rt wrid wend u ne seite aufrufst.....
Wie Kraeusi schon gesagt hat, JavaScript ist zwar Client-Seitig, kann aber nicht ?ber die Grenzen der Browser-Fenster heraus operieren.
hey das war das erstemal das du mir offen in nem thread zugestimmt hast;)
MfG
Kraeusi -
also ich habe noch keine schlechten erfahrungen mit javeskript gemacht ... man kann es eigentlich ohne probs nutzen, ich empfehle nur trotzdem ne firewall immer laufen zu lassen (ist der einfachste und beste schutz)
-
@mods, sorry falscher Button gedr?ckt !
so, danach aber quote;
also ich habe noch keine schlechten erfahrungen mit javeskript gemacht ... man kann es eigentlich ohne probs nutzen, ich empfehle nur trotzdem ne firewall immer laufen zu lassen (ist der einfachste und beste schutz)
eine Firewall hat gar nichts mit JavaScript zu schaffen, da JS in die Website eingebunden ist und wenn du JS mit einer Firewall blocken wolltest, m?sstest du die gesammte Website mit dem Firewall blocken(rein theoretisch).
JavaScript dient nicht dazu irgendetwas auf dem ausf?hrendem System zu ?ndern, sondern nur auf der Website selber, wo es eingebunden ist, kann es seine Wirkung entfalten.
-
disod schrieb:
durch java script sind auch so sp??e wie zum beispiel phishing ?ber fenster hinweg m?glich, oder auch vort?uschen einer anderen seite m?glich. Richtig b?s ist active scripting, denn da gibst beim ie massenhaft sicherheitsl?cken.
fazit: solange javascript f?r die anwendungen gebraucht wird, wof?r es konzipiert ist, ist es ungef?hrlich. Aber sollten die entwickler bestimmt f?lle nicht abgefangen haben, ist es auch schon mal unangenehm
also soll ich dich f?r deine bl?d heit bedauern oder schlagen?(thornet & judge: sorry aber das musste mal sein)
Java script, hat keine m?glich keit aus deinem browser raus zu kommen das hat windows nicht damals zugelassen und wird es auch cniht heute zulassen.
du redest vielleicht immmer mehr von vbs ohne zu wissen?!
js ist cniht gef?hrlich und das mit der seite vort?uschen nennt man popup und da wird ob man es glaubt oder nicht tats?chlich ne enue seite g?ffnet, also nicht nur vorget?uscht.
Wenn dir der IE zu unsicher ist, wie du sagst wieso benutzt du nicht einfach nen anderen browser wie opera, da haste bestimtm ncihts zu mekern da der mind. genausogut wie der ie ist und sich sogar als der ausgeben kann, oder wechsle gleich das os. warum cnith win 3.1?
da gibts ja noch kein js da brauchste also keine angst davor haben.
JS IST EINE REINE SERVER TECHNISCHE SACHE!
das hei?t das dies nur ausgef?rt wrid wend u ne seite aufrufst.....
Wie Kraeusi schon gesagt hat, JavaScript ist zwar Client-Seitig, kann aber nicht ?ber die Grenzen der Browser-Fenster heraus operieren.
hey das war das erstemal das du mir offen in nem thread zugestimmt hast;)
MfG
Kraeusi
Kraeusi es reicht!
Das was disod gesagt hat ist richtig.
Au?erdem gibt es noch genug andere Sichereheitsm?ngel!
Wenn ihr Google benutzten w?rdet, dann w?sstet ihr das vllt auch!
-> http://www.staff.uni-mainz.de/pommeren/DSVorlesung/Grundprobleme/JavaScript.html
Desweiteren kann man meine erachtens nach sehr gut mit Javascript Seiten vort?uschen.
Ich habe es noch nicht ausprobiert, aber ich k?nnte es mir denken.
edit :
Schaut doch mal bitte bei Zentrale L?sungsans?tze!
Eine Firewall ist nicht nur daf?r da irgendwelche Ports zu blocken, meist haben diese noch mehr Funktionen dabei...
Deshalb hat ippon gar nicht so unrecht.
Beitrag ge?ndert am 28.08.2005 18:39 von lucas9991 -
Tut mir leid Lucas, aber ich muss dir wiedersprechen.
Die Probleme, die auf der verlinkten Seite angesprochen sind, sind:
-Absturz des Browswers
Ja und? Dann st?rzt er eben ab. Wir gehen nie wieder auf diese Seite und gut ist.
-Spoofing&phishing
Zugegebenerma?en eine Gefahr, aber eine, bei der man mit einem Gewissem Ma? an Vorsicht keinen gro?en Schaden nehmen kann. Trojaner sind z.B. um einiges gef?hrlicher was das abfangen von Passw?rtern angeht und ich muss auch zugeben, das ich selber nie online-banking machen werde, weil eben alles mitgeschnitten werden k?nnte. Dennoch ist phishing per JS eindeutig die uneleganteste Methode, die nur bei unerfahrenen Usern wirkt.
Au?erdem merke ich selber wie strikt die Sicherheitseinstellungen von JavaScript sind, wenn ich versuche ein Script zu schreiben soll, das auf andere Seiten zugreifen soll und mir ein wenig Arbeit abnehmen soll. Es geht einfach nicht, weil keine Server?bergreifenden Variablenmanipulationen m?glich sind.
-Spuren vertuschen
Statuszeile: ja und ? Wenn das ein Link z.B. zu einer Bank w?re, dann w?rde ich sie garantiert nicht ?ber einen Link aufrugen.
Adressfeld: W?re mir neu, h?chstens mit Frames
Dokument-Quelltext: Ich will ein Beispiel sehen, bei dem ich den "richtigen" Quelltext nicht herausfinden kann !
Dokumenten-Informationen: Url, Gr??e ? Was soll an solchen Informatioen so wichtig sein ? Und wie ?ndert man sie bitte???
hm, wozu brauchen Firewalls eine Option zum JavaScript abschalten, wenn man es genausogut auch im Browser machen kann? -
Es kommt denke ich mal auch darauf an, wie man "gef?hrlich" definiert.
Stell dir mal vor, jemand schleust Javascript in deine Seite ein etc.
1) Von dort wird man dann direkt auf eine identische Website weitergeleitet und dort gibt man dann sein Passwort ein.
2) Ein Popup einer Porno Seite wird ge?ffnet.
So, jetzt stell dir mal vor das w?rd auf einer Firmen Website passieren... - das w?rde ich als gef?hrlich einstufen.
Bei 1) ist es wohl klar, bei 2) werden die Besucher abhauen -> der Ruin f?r den Webauftritt.
Ich glaube nicht, dass Java Script heruntergespielt werden sollte.
Selbst, wenn der Browserzu zu einem ungl?cklichen Moment abst?rtzt k?nnte das Probleme mit sich bringen, ob es jetzt nur ?rgerlich ist oder etwa eine Online-Buchung verf?lscht wird (was auch immer).
Das Benutzeraktionen simulierbar sind ist auch gef?hrlich oder sehr ?rgerlich.
Man k?nnte Lima vollspammen lassen!
Per URL konnte man bei Lima posten. Wenn jetzt das Javascript 1000 mal spammt, dann w?rde der User vom Lord sicherlich eine Anzeige bekommen...
Klar man k?nnte sagen, dass man das nicht extra gemacht hat, aber es w?re vllt nicht zu beweisen oder einfach nur sehr ?rgerlich
Das wichtigste hasst du aber glaube ich vergessen.
N?mlich folgendes :
Durchschleusen (?tunneln?) von anderen aktiven Inhalten m?glich (z. B. ActiveX).
Damit ist das ?bernehmen des PCs m?glich!
Nur weil Javascript nicht viel am PC ausrichten kann, heisst es nicht, dass es nichts kann und ist auch nicht zu untersch?tzen, denn wie es so sch?n auf der Website dazu heisst die "Phantasie der Hacker unbegrenzt!"!
Und das sollte man w?rtlich nehmen! -
Also, selbst wenn JavaScript m?glicherweise nicht 100% sicher ist, kann ich aus der Sicht eines Browsergame-Programmierers nur sagen:
BITTE NICHT ABSCHALTEN!!! Ihr verpasst damit ne Menge. Und Programmierern macht ihr damit das Leben schwer.
Wenn ihr absolut sicher gehn wollt, dass eurem pc nichts passiert, gibts nur eine m?glichkeit:
Stecker raus!
mfg dennis.p -
Ein Browsergame, wo man zwingend Javascript an haben muss? Wieso das?
Ich finde, dass gute Programmiere die Seite auch f?r Leute zug?nglich machen m?ssen, die Javascript ausgeschaltet haben.
Das Leben macht es dir nicht schwer. Worum auch?
Du musst! sowieso alle Eingaben nochmals mit PHP ?berpr?fen, denn sonst entstehen Sicherheitsl?cken, die sich leicht ausnutzen lassen.
Also ist das mit Javascript zu machen doch eher die Belastung, oder meinst du etwas anderes? -
dennisp schrieb:
Also, selbst wenn JavaScript m?glicherweise nicht 100% sicher ist, kann ich aus der Sicht eines Browsergame-Programmierers nur sagen:
BITTE NICHT ABSCHALTEN!!! Ihr verpasst damit ne Menge. Und Programmierern macht ihr damit das Leben schwer.
Wenn ihr absolut sicher gehn wollt, dass eurem pc nichts passiert, gibts nur eine m?glichkeit:
Stecker raus!
mfg dennis.p
Das ist auch der Grund, warum ich JS gerne mag. Es er?ffnet eben viele n?tzliche M?glichkeiten.
Aber wir diskutieren jetzt nun mal ?ber die Schattenseite von JS.
lucas9991 schrieb:
Es kommt denke ich mal auch darauf an, wie man "gef?hrlich" definiert.
Stell dir mal vor, jemand schleust Javascript in deine Seite ein etc.
1) Von dort wird man dann direkt auf eine identische Website weitergeleitet und dort gibt man dann sein Passwort ein.
2) Ein Popup einer Porno Seite wird ge?ffnet.
-->Man muss beim programieren von PHP Scripten aufpassen, das XSScripting nicht m?glich ist.
Klar, das ist jetzt einfach gesagt, aber htmlentities() sorgt meistens schon f?r eine entsprechende Entsch?rfung von <script>-Tags.
Und Inhalte, die von dritten erstellt werden d?rfen, findet man meistens nur in Foren oder G?steb?chern und diese wiederum findet man eher nur bei privaten Seiten.
lucas9991 schrieb:
Ich glaube nicht, dass Java Script heruntergespielt werden sollte.
Nein, definitiv nicht. Aber jemand muss ja den Kontra-Part ?bernehmen in dieser Diskussion. Und es macht Spass.
Ich habe guten Grund diese Sprache zu verteidigen, da in 95% meine htm/php-Dateinein ein JS vorkommt.
lucas9991 schrieb:
Man k?nnte Lima vollspammen lassen!
Per URL konnte man bei Lima posten. Wenn jetzt das Javascript 1000 mal spammt, dann w?rde der User vom Lord sicherlich eine Anzeige bekommen...
Klar man k?nnte sagen, dass man das nicht extra gemacht hat, aber es w?re vllt nicht zu beweisen oder einfach nur sehr ?rgerlich
Wer hat nochmal das PHP-Spam Script geschrieben, das vor einiger Zeit mal einen Thread vollgem?llt hat und ein GB glaube ich auch ?
Hies der nicht Lucas9991 ?
Ich will dir keinen Vorwurf machen, aber bevor du mit JS irgendwas vollspamen kannst, ist dir der Browser abgest?rzt oder bricht das Script automatisch ab.
Spamen geht mit JS nicht wirklich, PHP w?re da schon eher geeignet.
Was Active-X angeht, so will ich mich nicht dazu ?u?ern, da ich von dieser Technologie nur wenig Ahnung habe. Desweiteren ist das nur eine Sache des IE.
JavaScript und Hacker/Cracker ?
JavaScript und Phischer, ja, aber Hacker/Cracker k?nnen mit einer Client-seitigen Sprache eher wenig anfangen.
Na los ! Gib's mir ! -
bladehunter schrieb:
Das ist auch der Grund, warum ich JS gerne mag. Es er?ffnet eben viele n?tzliche M?glichkeiten.
Aber wir diskutieren jetzt nun mal ?ber die Schattenseite von JS.
N?tzlich ist es durchaus.
Auch um Ressourcen und Traffic zu sparen.
-->Man muss beim programieren von PHP Scripten aufpassen, das XSScripting nicht m?glich ist.
Klar, das ist jetzt einfach gesagt, aber htmlentities() sorgt meistens schon f?r eine entsprechende Entsch?rfung von <script>-Tags.
Und Inhalte, die von dritten erstellt werden d?rfen, findet man meistens nur in Foren oder G?steb?chern und diese wiederum findet man eher nur bei privaten Seiten.
Klar, aber viele machen es nicht.
Au?erdem kann man auf kommerziellen Seiten genauso viel eintragen etc., wie auch privaten.
Aber auf kommerziellen ist das meist proffessioneller und sicherer gemacht.
Nein, definitiv nicht. Aber jemand muss ja den Kontra-Part ?bernehmen in dieser Diskussion. Und es macht Spass.
Ich habe guten Grund diese Sprache zu verteidigen, da in 95% meine htm/php-Dateinein ein JS vorkommt.
lol
Ein sehr gutes Argument.
Wer hat nochmal das PHP-Spam Script geschrieben, das vor einiger Zeit mal einen Thread vollgem?llt hat und ein GB glaube ich auch ?
Hies der nicht Lucas9991 ?
Das war durchaus ich, aber das war im Spam Forum, dort wo das spammen erlaubt ist.
Man k?nnte aber normale Threads nehmen.
Ich will dir keinen Vorwurf machen, aber bevor du mit JS irgendwas vollspamen kannst, ist dir der Browser abgest?rzt oder bricht das Script automatisch ab.
Spamen geht mit JS nicht wirklich, PHP w?re da schon eher geeignet.
Mhhh... ?berzeugt. ;)
Was Active-X angeht, so will ich mich nicht dazu ?u?ern, da ich von dieser Technologie nur wenig Ahnung habe. Desweiteren ist das nur eine Sache des IE.
Blub!
JavaScript und Hacker/Cracker ?
JavaScript und Phischer, ja, aber Hacker/Cracker k?nnen mit einer Client-seitigen Sprache eher wenig anfangen.
Wie ich schon sagte, durch Javascript kann man mit Active-X irgendwas machen. Es ist also ein Mittel zum Zweck. :)
Na los ! Gib's mir !
Jaja, hab den Thread aus den Augen verloren. xD -
lucas9991 schrieb:
Ein Browsergame, wo man zwingend Javascript an haben muss? Wieso das?
Ich finde, dass gute Programmiere die Seite auch f?r Leute zug?nglich machen m?ssen, die Javascript ausgeschaltet haben.
Das Leben macht es dir nicht schwer. Worum auch?
Du musst! sowieso alle Eingaben nochmals mit PHP ?berpr?fen, denn sonst entstehen Sicherheitsl?cken, die sich leicht ausnutzen lassen.
Also ist das mit Javascript zu machen doch eher die Belastung, oder meinst du etwas anderes?
Es ist ein BrowserGame
Eine gute Portion JavaScript kann da Wunder wirken.
Und wie du auch schon erw?hnt hast, es spart Server-Ressourcen.
(gilt nat?rlich nicht f?r die Formulareingabem)
Was Browsergames und Barrierefreiheit angeht, so sollte auf jeden Fall f?r Leute, die auf Browser wie Lynx angewiesen sind etwas gescriptet werden, was alle Einschr?nkungen aufhebt.
Wie weit Lynx JavaScript-f?hig ist, wei? ich nicht, da ich es einfach net gebacken kriege das Teil zu installieren
lucas9991 schrieb:
bladehunter schrieb:
-->Man muss beim programieren von PHP Scripten aufpassen, das XSScripting nicht m?glich ist.
Klar, das ist jetzt einfach gesagt, aber htmlentities() sorgt meistens schon f?r eine entsprechende Entsch?rfung von <script>-Tags.
Und Inhalte, die von dritten erstellt werden d?rfen, findet man meistens nur in Foren oder G?steb?chern und diese wiederum findet man eher nur bei privaten Seiten.
Klar, aber viele machen es nicht.
Au?erdem kann man auf kommerziellen Seiten genauso viel eintragen etc., wie auch privaten.
Aber auf kommerziellen ist das meist proffessioneller und sicherer gemacht.
eben, wenn viel von der Sicherheit einer HP abh?ngt, wird auch in der Regel entsprechend Arbeit reingesteckt, die Seite unangreifbar zu machen und die Seite ist auch dann sehr sicher.
Und wer dann keine Backups ect. hat, hat selber schuld. Aber was das angeht, so ist das eher eine Sache von Server-seitigen Hacks.
lucas9991 schrieb:
bladehunter schrieb:
Was Active-X angeht, so will ich mich nicht dazu ?u?ern, da ich von dieser Technologie nur wenig Ahnung habe. Desweiteren ist das nur eine Sache des IE.
Blub!
sorry, wei? ich echt nichts dr?ber. W?rde sonst gerne dar?ber diskutieren.
JavaScript und Hacker/Cracker ?
JavaScript und Phischer, ja, aber Hacker/Cracker k?nnen mit einer Client-seitigen Sprache eher wenig anfangen.
Wie ich schon sagte, durch Javascript kann man mit Active-X irgendwas machen. Es ist also ein Mittel zum Zweck. :)
ich w?rde gerne das "irgendwas" definiert haben.
Am besten mit Quelltext, wenn das ginge.
Oder ein Link zu einer Active-X Dokumentation. -
definitiv ja benutze firefox und das ganze ist nicht mehr ganz so gef?hrlich
-
JavaScript selber is gar nich gef?hrlich, allerh?chstens User die sich bl?d anstellen und dann Daten eingeben die an den falschen empf?nger verschickt werden.
Oder einfach nervende JS dinge wie rechtsklick-sperre (die leicht umgangen werden kann).
Oder nat?rlich User die Browser benutzen die von haus aus schon mehr Sicherheitsl?cke als Browser sind, d.h. IE. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
