[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: OEB-OPACs im WWW
- Date: Fri, 6 Oct 2000 17:26:50 +0200 (MEST)
- From: daniel _at__ roedding.de (Daniel Roedding)
- Subject: Re: OEB-OPACs im WWW
Hallo Frau Strauch,
> Hier muss man wohl zwischen Java und JavaScript unterscheiden.
> Die einzige Moeglichkeit, mittels JavaScript auf die Festplatte des
> Nutzers zuzugreifen, ist die Verwendung von Cookies.
Jetzt geht's richtig durcheinander... :-)
Es gibt insgesamt (mindestens) vier verschiedene Baustellen, die man
erstmal völlig isoliert voneinander betrachten muß:
a) JavaScript: Skriptsprache, die in HTML-Seiten eingebettet werden kann.
Wird häufig für graphische Spielereien, Öffnen von neuen Fenstern,
Plausikontrollen in Eingabeformularen etc. verwendet.
Die Skriptsprache wird vom Browser interpretiert und hat Zugriff auf
das Objektmodell der gerade dargestellten WWW-Seite und sonstiger damit
im Zusammenhang stehenden Daten, was diese "Sprache" von den daraus
resultierenden Möglichkeiten her beliebt macht. Die Implementations-
qualität der JavaScript-Interpreter ist aber leider nur mäßig stabil, alles
andere als "normiert" und die Sprache ist ansonsten mäßig sicher
(Benutzerinformationen können übertragen werden, ebenso können evtl.
lokale Anwendungen angestoßen werden, ein direkter Zugriff auf Dateien
auf der lokalen Festplatte ist in der Regel aber nicht möglich).
b) Java: Programmiersprache bzw. Umgebung, in der Java-Programme (im Browser-
Kontext häufig auch "Applets" genannt) ablaufen können. Java-Programme
liegen in maschinenunabhängigem Pseudo-Code, also eine Art interpretiertem
Assembler für eine "virtuelle Maschine", vor. Java wurde konstruiert,
um plattformübergreifend in einer definierten, gekapselten Umgebung
Software ablaufen lassen zu können. Stabilität und Sicherheitsaspekte
ergeben sich über die Qualität der Implementation der jeweiligen Java-VM
für eine Plattform. Zum gegenwärtigen Zeitpunkt sind alle Java-VMs als
potentiell unsicher zu betrachten, teilweise sind Exploits mit wenigen
Java-Programmzeilen möglich und veröffentlicht.
c) "Active Scripting" etc.: Ansteuerungsmöglichkeit für Windows-Applikationen
aus WWW-Seiten heraus. Kann guten Gewissens als "kategorisch unsicher"
betrachtet werden, vor allen Dingen weil sich in einigen IE-Versionen
die Verarbeitung nicht vollständig abstellen läßt.
d) Cookies: Datensätze, die zusammen mit einem HTTP-Request übermittelt
werden können, und zwar sowohl Server-zu-Client wie auch Client-zu-Server.
Cookies haben nichts mit a)-c) zu tun und können auch isoliert
eingesetzt werden. Die Verwendung von Cookies beeinträchtigt die
Sicherheit des restlichen Systems, auf dem der Browser läuft, nicht.
Der Inhalt der Cookies selbst ist aber nicht sicher bzw. vertraulich.
Das Risiko von Cookies besteht allenfalls darin, daß sie benutzt werden
können, auf Server-/Anbieterseite eine "Wiedererkennung" von Nutzern
vorzunehmen und beispielsweise zur Profilbildung eingesetzt werden können.
Viele Grüße,
Daniel Rödding
--
Daniel Roedding phone: +49 5252 9838 0
daniel _at__ roedding.de fax: +49 5252 9838 20
Listeninformationen unter http://www.inetbib.de.