[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: OEB-OPACs im WWW



Hallo Frau Strauch,

> Hier muss man wohl zwischen Java und JavaScript unterscheiden.
> Die einzige Moeglichkeit, mittels JavaScript auf die Festplatte des
> Nutzers zuzugreifen, ist die Verwendung von Cookies.

Jetzt geht's richtig durcheinander... :-)

Es gibt insgesamt (mindestens) vier verschiedene Baustellen, die man
erstmal völlig isoliert voneinander betrachten muß:

a) JavaScript: Skriptsprache, die in HTML-Seiten eingebettet werden kann.
   Wird häufig für graphische Spielereien, Öffnen von neuen Fenstern,
   Plausikontrollen in Eingabeformularen etc. verwendet.
   Die Skriptsprache wird vom Browser interpretiert und hat Zugriff auf
   das Objektmodell der gerade dargestellten WWW-Seite und sonstiger damit
   im Zusammenhang stehenden Daten, was diese "Sprache" von den daraus
   resultierenden Möglichkeiten her beliebt macht. Die Implementations-
   qualität der JavaScript-Interpreter ist aber leider nur mäßig stabil, alles
   andere als "normiert" und die Sprache ist ansonsten mäßig sicher
   (Benutzerinformationen können übertragen werden, ebenso können evtl.
   lokale Anwendungen angestoßen werden, ein direkter Zugriff auf Dateien
   auf der lokalen Festplatte ist in der Regel aber nicht möglich).

b) Java: Programmiersprache bzw. Umgebung, in der Java-Programme (im Browser-
   Kontext häufig auch "Applets" genannt) ablaufen können. Java-Programme
   liegen in maschinenunabhängigem Pseudo-Code, also eine Art interpretiertem
   Assembler für eine "virtuelle Maschine", vor. Java wurde konstruiert,
   um plattformübergreifend in einer definierten, gekapselten Umgebung
   Software ablaufen lassen zu können. Stabilität und Sicherheitsaspekte
   ergeben sich über die Qualität der Implementation der jeweiligen Java-VM
   für eine Plattform. Zum gegenwärtigen Zeitpunkt sind alle Java-VMs als
   potentiell unsicher zu betrachten, teilweise sind Exploits mit wenigen
   Java-Programmzeilen möglich und veröffentlicht.

c) "Active Scripting" etc.: Ansteuerungsmöglichkeit für Windows-Applikationen
   aus WWW-Seiten heraus. Kann guten Gewissens als "kategorisch unsicher"
   betrachtet werden, vor allen Dingen weil sich in einigen IE-Versionen
   die Verarbeitung nicht vollständig abstellen läßt.

d) Cookies: Datensätze, die zusammen mit einem HTTP-Request übermittelt
   werden können, und zwar sowohl Server-zu-Client wie auch Client-zu-Server.
   Cookies haben nichts mit a)-c) zu tun und können auch isoliert
   eingesetzt werden. Die Verwendung von Cookies beeinträchtigt die
   Sicherheit des restlichen Systems, auf dem der Browser läuft, nicht.
   Der Inhalt der Cookies selbst ist aber nicht sicher bzw. vertraulich.
   Das Risiko von Cookies besteht allenfalls darin, daß sie benutzt werden
   können, auf Server-/Anbieterseite eine "Wiedererkennung" von Nutzern
   vorzunehmen und beispielsweise zur Profilbildung eingesetzt werden können.

Viele Grüße,
Daniel Rödding


-- 
Daniel Roedding                                       phone: +49 5252 9838 0
daniel _at__ roedding.de                                      fax: +49 5252 9838 20


Listeninformationen unter http://www.inetbib.de.