|
ActiveX
Die gefährlichste Sicherheitslücke öffnen ActiveX-Controls. Wie jedes andere Programm, das Sie auf Ihrem PC starten, kann ein ActiveX-Control auf Ihrem Rechner Daten lesen, verschicken oder löschen. Java-Applets können das nicht. Der Grund: ActiveX ist Bestandteil des Windows-Konzepts. Danach soll jedes Programm Windows-Programmelemente laden und nutzen können, ob das nun Excel oder der Web-Browser ist. Als einzige aktive Sicherheitsvorrichtung für ActiveX bietet Microsoft Zertifikate an. Anhand dieser digitalen Ausweise identifizieren sich die Hersteller und geben eine Garantie für die Unbedenklichkeit ihres ActiveX-Programms. Im Internet-Explorer lassen sich Controls ohne Ausweis sperren oder erst nach einer Warnung starten. Die Warnung taucht in der Explorer-Standartkonfiguration sowohl für zertifizierte als auch für ungesicherte Controls auf. Netscape-User sind von diesem Sicherheitsproblem nicht betroffen - es sei denn, sie starten das ActiveX-Control über ein Plugin. [zurück zum Anfang]
Cookies
So genannte Cookies stellen keine direkte Gefahr dar. Jedoch eröffnen diese kleinen Dateien Einblick in das Verhalten von Anwendern. Ein Beispiel sind die Werbebanner des Anzeigedienstleisters Doubleclick, die Sie auf vielen Web-Sites finden. Bei jeder Bannereinblendung könnte Doubleclick in der entsprechenden Cookie-Datei nachsehen, wann und wie oft der Anwender welche Anzeigen angeklickt hat, wie oft er eine bestimmte Webseite aufgerufen hat, und welchen Weg er gegangen ist. Doubleclick wiegelt ab: Die Cookies seien nur dazu da, dass man nicht immer wieder mit derselben Anzeige konfrontiert wird. Mail-Adressen oder persönliche Daten des Users würden nicht gespeichert. Mit etwas Fantasie lässt sich aber durchaus ein Gefährdungspotential in den Banner-Cookies erkennen. Was, wenn man den Cookie und einen Login-pflichtige Dienst kreuzt? Dann liesse sich ohne weiteres eine Verbindung zwischen der Cookie-ID und dem Anwender herstellen. Problematisch sind auch Cookies, die User-Namen und Kennwort speichern, denn häufig liegen diese Einträge als Klartext vor. Wer sich etwa bei Consors ein Musterdepot für Aktien einrichtet und seine Zugangsdaten per Cookie speichert, findet die Daten lesbar auf seine Festplatte. Prinzipiell sollten Sie nur Cookies zulassen, die an dieselbe Adresse zurückgeschickt werden, von der sie herkommen. [zurück zum Anfang]
Favoriten
Ein weiteres Risiko stellen Favoriten oder Bookmarks dar. Manche Anbieter erlauben, Usernamen und Kennwort für einen Dienst komplett als Bookmark zu speichern. Sobald sich ein Unbefugter an Ihrem PC zu schaffen macht, kann er über diese Favoriten auf Daten im Netz zugreifen. Deshalb sollten Sie in jedem Fall darauf verzichten, Bookmarks mit sicherheitsrelevanten Angaben so zu speichern. Zum Glück gibt es nur noch sehr wenige Seiten, mit diesem Login-Verfahren. [zurück zum Anfang]
Java
Java ist vom Konzept her sicher. Alle Programme laufen in einem geschützten Bereich ab, der so genannten Sandbox. Und wie ein Kind im Sandkasten darf ein Java-Applet innerhalb der Sandbox alles anstellen was es will. Auf Dateien des Client-Computers kann es nur zugreifen, wenn Sie es explizit erlaubt haben. Auch
Speicher gibt es nicht ohne weiteres: Java verhindert direkte Zugriffe von Programmen auf das RAM. Nur gelegentlich aufgedeckte Bugs mindern die Sicherheit. So entdeckte man im vergangenen September einen Weg, manche Windows-Computer mit Java zum Absturz zu bringen. Die aktuelle Javaversion kann auf Festplatten zugreifen. Die Absicherung gegen böswillige Attacken läuft auch hier über Zertifikate. Besitzt ein Java-Applet kein Zertifikat oder wird dieses nicht akzeptiert, erhält es keinen Zugriff auf den Rechner. [zurück zum Anfang]
JavaScript
JavaScript kann relativ wenig auf Ihrem Computer anstellen. Allerdings ist die Skript-Sprache wegen einiger empfindlicher Bugs ins Gerede gekommen: So konnten frühe JavaScripts-Versionen beispielsweise den Cache oder die History-Liste des Web-Browsers unbemerkt per Mail an einen Server schicken. Doch diese Probleme sind behoben. Ein JavaScript Problem ist jedoch nach wie vor vorhanden: Ein JavaScript kann zig zusätzliche Browser-Fenster öffnen und dort beliebige Inhalte aus dem Web laden. [zurück zum Anfang]
Shareware
Gefährlich werden kann auch der Download von Software. Wer bei nicht 100prozentig sauberen Webseiten Raubkopien abholt, muss damit rechnen, seinen PC mit einem Virus zu infizieren. Der Download ist gefahrlos; erst mit einer exe-Datei können Viren und Spähattacken kommen. Deshalb sollte man nach einem Download und nochmals nach dem Entpacken einer Datei einen Virenscanner starten (weiteres in den Rubriken Viren und Trojaner). Die gleichen Vorsichtsmassnahmen gelten für Dateien die Sie über E-Mail erhalten. [zurück zum Anfang]
Mensch
Die grösste Sicherheitslücke im Web-Alltag ist der Mensch. Wer sich allzu vertrauensselig durchs Netz bewegt, läuft Gefahr, dass ihm Kennwörter, Kreditkartennummer oder andere wichtige Daten abhanden kommen. Immer wieder versuchen unfreundliche Zeitgenossen, per E-Mail an Kennwörter heranzukommen, um auf Ihre Kosten zu surfen oder kostenpflichtige Seiten aufzurufen. Unter dem gefälschten Absendernamen eines Providers oder Dienstleisters bitten Betrüger unter dem Vorwand, es gäbe ein technisches Problem, um die Zusendung von Username und Kennwort. Antworten Sie in keinem Fall auf solche Mails! Machen Sie Ihren Provider auf den Spionageversuch aufmerksam, damit er Sie und andere User schützen und entsprechende Massnahmen ergreifen kann. [zurück zum Anfang]
Transaktion
Ebenso vorsichtig sollten Sie sein, wenn Sie Kennwörter und Usernamen in einem Webformular eingeben. Vergewissern Sie sich zuerst, dass Sie beim gewünschten Anbieter sind. Das geht mit einem Blick in die Adressleiste. Vereinzelt versuchen sich Seiten unter falschem Namen auf Ihrem Rechner niederzulassen, um Usernamen und Kennwörter der realen Seiten abzuschöpfen. Hier sollten Sie misstrauisch sein: Ist das Schlüsselsymbol für die Lizenzübereinstimmung des Browsers aktiv? Wenn nicht, geben Sie keine Daten ein. Gibt der Server auf Wunsch ein Zertifikat preis? Wenn nicht, lassen Sie die Finger von dieser Seite. [zurück zum Anfang]
|
