Wider Javascript

Zunächst mal: Javascript ist eine feine Sache. Man kann damit die Bedienung von Webseiten unendlich vereinfachen.

Der Haken: Javascript ist seit Jahren immer wieder Einfallstor für Malware gewesen. Eigentlich sollte das nicht sein, die scriptfähigen Browser bemühen sich alle darum, dass Javascript gar nicht erst aus dem Browser ausbrechen kann – nur bietet Javascript derart viele Möglichkeiten an, dass es kompliziert ist, Komplexität bedeutet Programmfehler, und Programmfehler in der Absicherung bedeuten ein Sicherheitsleck.

Nun gibt es Möglichkeiten, Javascript nur bestimmten Websites zugänglich zu machen. Auf meinem Standardbrowser (Firefox) nutze ich NoScript, das wirklich sehr bequem zu nutzen ist. Man könnte also nur den Websites, denen man vertraut, Javascript erlauben und allen anderen nicht.

Auch das hat einen Haken. Gesetzt den Fall, ich vertraue 20 Sites, und in einem Fall war das Vertrauen dann doch ungerechtfertigt: dann habe ich trotzdem einen Trojaner auf der Platte.
Selbst bei perfekter Menschenkenntnis würde ich auf diese Weise hereinfallen: Wenn ich einer Website vertrauen, dann vertraue ich ja nicht nur dem Betreiber, dass er schon nichts Böses mit meiner Website anstellt. Ich vertraue auch seiner technischen Kompetenz, dass er seine Website gegen Hacker absichern kann. Und seinem Zeitplan, dass er diese Absicherung auch tatsächlich durchgeführt hat.

JavaScript ist da fast wie Sex: nur mit Leuten, die man gut kennt und denen man vertraut. Und auf den Zeitpunkt gefasst sein, an dem es doch mal schiefgeht.