Browser sichern - Seite 2

Java

Java
Bei der Java-API von Sun ist auf die Sicherheit von Anfang grosser Wert gelegt worden. Typische Programmierfehler sollten per Design ausgeschlossen werden. So gibt es eine genaue Bereichsüberprüfung von Arrays und Strings, um Pufferüberläufe zu vermeiden. Dies wird häufig ausgenutzt um ausführbare Programme auf den Client zu laden und dort auszuführen. Es gibt keine Zeiger, um Fehler in der Speicherverwaltung zu vermeiden. Weiterhin wird der Arbeitsspeicher automatisch durch einen Garbage Collector gesäubert, um Speicherlöcher zu vermeiden. Java-Programme (Applets) laufen in einer sogenannten Sandbox. Dies ist ein eingeschränkter Bereich, in dem das Programm laufen darf. Zugriffe auf Systemressourcen wie Festplatten, Arbeitsspeicher oder Windows-Funktionen sind nicht erlaubt. Es gibt aber Möglichkeiten die Sandbox aufzubrechen. Das alles macht Java zu einer sehr sicheren Sprache.

Java-Applets benötigen einen speziellen Interpreter, damit sie laufen können: die Java Virtual Machine (VM). Hin und wieder werden aber Implementierungsfehler der VM bekannt, die die Sicherheit beeinträchtigen. Ein Applet kann dann eventuell doch Zugriff auf das Dateisystem bekommen. Da Java-Programme (zumindest in der Theorie) plattformunabhängig sind, wirken sich Sicherheitsprobleme gleich auf alle Java-fähigen Betriebssysteme aus, also auch auf Linux oder MacOS. Ausser der VM von Sun gibt es eine ganze Reihe weiterer VMs anderer Hersteller wie zum Beispiel von Microsoft, wodurch Inkompatibilitäten entstehen.

Java-Applets finden sich nicht allzu häufig auf Web-Seiten. Meistens werden sie für Spielereien benutzt, so dass man Java im Browser abschalten kann. Sollte Java denoch für das Ausführen einer Web-Seite absolut erforderlich sein, erhalten Sie eine entsprechende Fehlermeldung, so dass Sie Java wieder kurzfristig aktivieren können.

Java abschalten
Bei WIndows wird Java im Register Sicherheit des IE bei den Einstellungen für die noch zu besprechenden Zonen abgestellt. Wählen Sie die Internetzone und klicken Sie auf Stufe anpassen.... Suchen Sie den Abschnitt Microsoft VM. In der Internetzone ist mittlere Sicherheit voreingestellt. Das ist eine sinnvolle Einstellung für unbekannte Web-Sites. Markieren Sie Java deaktivieren. Bei Benutzerdefiniert erscheint die neue Schaltfläche Java-Einstellungen..., hinter der sich ein umfangreicher Konfigurationsdialog befindet. Hier lassen sich Zugriffsrechte auf verschiedene Systemressourcen vergeben, wobei IE zwischen signierten und nicht signierten Java-Applets unterscheidet. Signierte Applets enthalten ein Zertifikat einer übergeordneten Kontrollstelle, das den Hersteller ausweist und die Unversehrheit des Applets garantiert. Diese Einstellungen sind bereits relativ komplex, und man muss sich schon ziemlich gut mit Java auskennen, um einen Nutzen daraus zu ziehen.


Über die Sicherheitseinstellungen einzelner Zonen lässt sich Java leicht ausschalten. Unter Benutzerdefiniert finden Sie eine grosse Fülle an sicherheitsrelevanten Java-Einstellungen.

Java-Applets können mit Skripts gesteuert werden. Der IE enthält die beiden Sprachen JScript (bei Netscape JavaScript) und VBScript. Die Skripts sind in HTML-Seiten enthalten und werden auf dem Client ausgeführt. Skripts können zum Beispiel Parameter an ein Applet übergeben, es starten oder beenden. Wenn Sie Java deaktivieren, sollten Sie auch das Scripting von Java-Applets abschalten. Eine weitere Einstellung ist Einfügeoperationen über ein Skript zulassen, womit ein Skript Zugriff auf Daten aus der Zwischenablage erhalten kann. Auch diese Option sollten Sie abschalten. Das generelle Abstellen des Active Scripting ist dagegen nicht ratsam, da sonst ständig Dialogboxen erscheinen, die man wegklicken muss. Bei Netscape 6.x schalten Sie Java über Bearbeiten/Einstellungen... im Bereich Erweitert ab.


Java und JavaScript lassen sich in den erweiterten Einstellungen von Netscape 6 abschalten.

Durch das Aufbrechen der Sandbox sind auch signierte Java-Applets potenziell gefährlich, jedoch ist das Risiko einer Sicherheitsverletzung weitaus geringer als bei der zweiten Art von ausführbarem Content, den ActiveX-Steuerelementen (ActiveX-Controls).

Artikel kommentieren