JavaScript ist Böse™

Was bedauerlich ist – man kann damit einen Haufen wirklich sinnvolle Sachen anstellen.
Aber es gibt halt zu häufig zu gravierende Sicherheitslücken. Im Prinzip ist es eben so, dass jedes Programm, das man sich zur Ausführung auf den Rechner holt, bei entsprechender krimineller Energie sämtliche Barrieren durchbrechen kann. Und JavaScript ist eben genau so was.

Und was machen Websites? Sie bombardieren einen immer noch mit dem Wunsch, man möge doch JavaScript einschalten.
Denen ist wohl nicht klar, was die da verlangen:

  • Ich soll dem Website-Betreiber vertrauen, dass er auf meinem PC nichts anstellt, was mir nicht Recht ist. Damit fallen schon mal alle Websites weg, deren Betreiber ich nicht kenne und die auch nicht lange genug im Netz sind, dass sie einen guten Ruf zu verlieren hätten.
  • Ich soll dem Website-Betreiber vertrauen, dass niemand jemals seinen Webserver hackt und ihm so ein böswilliges JavaScript in die Webseiten einbaut. Dafür braucht man eigentlich ein Administratorenteam, dass die Webserver rund um die Uhr überwacht und bei jeder Unregelmäßigkeit sofort die betroffenen Server vom Netz nimmt. Damit fallen sämtliche Websites weg, deren Betreiber ich kenne, die haben nämlich allesamt keine Administratorenteams, sondern einen einzigen Administrator (wenn überhaupt).
  • Selbst da, wo ich denke, dass der Website-Betreiber sowohl vertrauenswürdig als auch kompetent ist – also, sagen wir, Google, Debian, vielleicht noch Amazon, Microsoft und Github: Ist mein eigenes Urteil denn überhaupt verlässlich? Ich vertraue gern anderen Menschen, und in 19 von 20 Fällen erweist sich das als gerechtfertigt, aber mit dem 20. Fall habe ich dann doch wieder einer Website vertraut, die eben doch nicht in Ordnung war.
  • Selbst hoch vertrauenswürdigen, hochkompetenten Website-Betreibern rutscht gelegentlich was durch.

Und dann kommen die Websites, die gleich JavaScript von fünfzehn verschiedenen Partner-Websites einbinden.
Oft alles ganz harmlos gemeint: Statistik, einheitliche Anmeldung, oder einfach auch nur Standard-Programmcode, den man nicht unbedingt auf jedem Server rumliegen haben muss.
Aber wenn ich schon einem Betreiber nicht vertrauen darf, selbst wenn ich’s gern würde, wird die Sache ja umso schlimmer, wenn noch mehr Websites im Bild sind.

Aber wenn man merkt, dass eine Website ihr JavaScript von vielen, vielen anderen Websites lädt, dann heißt dass, dass der Websitebetreiber diese Sorte Risikovermehrung gar nicht merkt.Und damit ist er in punkto Sicherheit schon mal als inkompetent einzustufen. Oder es ist Desinteresse, was es nicht wirklich besser macht: Ich geb meinen Haustürschlüssel ja auch niemandem, der ihn in eine löchrige Hosentasche steckt.

2 Gedanken zu „JavaScript ist Böse™“

  1. JavaScript läuft in einer Sandbox, es kann also nichts direkt schädliches auf dem eigenen Rechner anstellen (z. B. Malware installieren). Natürlich kann diese Sandbox Löcher haben, durch die ein böser Website-Betreiber eben doch Blödsinn anstellen kann.

    Ich vertraue also in erster Linie nicht dem Betreiber der Website, sondern dem Browser-Hersteller, dass er sichere Software schreibt.

  2. 1. Einem Fünfjährigen in der Bundesliga das Tor anzuvertrauen wäre ungefähr genau so dämlich wie den Browserherstellern die Herstellung einer sicheren JS-Implementation: Das Vertrauen wäre wegen offenkundiger Unfähigkeit des Betreffenden unangebracht.
    2. Da die Sicherheitslücken nun mal da sind, muss ich darauf vertrauen, dass die Websites diese Lücken nicht ausnutzen. Was nicht nur wegen erwiesener Unfähigkeit der Websitebetreiber dämlich wäre (sie kriegen ihre Webserver ja auch nicht sicher), sondern auch noch naiv, da ein paar der Websitebetreiber eben doch kriminell sind und man die nicht alle auf Anhieb erkennt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.