Also doch! Javascript ist gefährlich!

Hallo Ralph, mir viel bei Deinem Titel die Kinnlade runter.

Fazit, nach dem ich den Artikel las.

Die Pizzadienst -Seite war eine vertraute Anwendung, so wie es sein sollte. Nun wurde die Pizza-Seite gehackt. Ab diesem Moment ist die Pizza Seite eine böse Seite und nicht mehr vertrauenswürdig.

Fakt ist, der Angriff auf den Hungrigen kam von der Webseite des Pizza-Dienstes. Somit hat der Gino seine Seite nicht ausreichend abgesichert!!!

Genau an dieser Stelle ist entstand das Risiko für den Benutzer.
Nun zum Nutzer, sinnvoll wenn man einen Virenwächter hat. Gut ist auch, wenn der aktuell ist.
Ohne Virenwächter ist wie "bei rot über die Straße gehen".

Für mich ist javascript in dem Context nicht gefährlich, ganz und gar nicht.

Der Webmaster hats verk***t. Und genau das ist das Problem.

Zum besseren Verständnis: Ihr seit Kleider einkaufen. Ihr seht eine Kiste mit neuer Ware. Ihr langt frech in den Karton rein, weil die Hose viel versprechend aussieht.
Nun schneidet ihr euch die Hände an einem Kartonmesser auf, welches zwischen den Hosen lag.
Nun, die Preisfrage: War das Messer böse oder der Mitarbeiter, der es dort vergessen hat?
Die 2. Frage: Muss ich in eine blind Kiste greifen?

Hallo Roman,

Du hast recht! Funktionell gesehen ist das Problem das angreifbare Umfeld und nicht der Angreifer (Javascript) selbst. Allerdings ging es mir bei dem Hinweis auf denHeise-Artikel mehr darum, den Nimbus des sicheren "JavaScript" ein wenig anzukratzen. Denn für die breite Basis gilt, Javascript ist sicher.

Das dies nur gilt, wenn auch das Umfeld OK ist, vergisst man dabei LEIDER meistens. Ich fand aber einfach den Artikel selbst gut und vor allem recht nachvollziehbar, auch wenn manche man wenig wissen über JS und ander Techniken hat.
Und da kam wohl wieder meine berufliche Passion durch - ich möchte aufklären und Wissen vermitteln. Sorry, wenn es ein wenig zu undeutlich war.

Aber ich sehe, wir beide ergänzen uns gut - ich hau\' auf die Trommel und Du relativierst wieder alles. Danke für die gute Zusammenarbeit.

Beste Grüße
Ralph

... dies ist der erste Text via Netbook & UMTS-Stick .... echt klein das Keyboard

JavaScript als gefährlich zu bezeichnen finde ich auch nicht so richtig, das klingt schon fast nach Verleumdung . Im Grunde ist es dasselbe wie mit den Cookies, die auch lange als eine riesengroße Gefahr verschrien waren.

Wer sich 100% absichern will, der muss JavaScript komplett abschalten und dementsprechend auf einige Annehmlichkeiten verzichten. (Aber dann bitte nicht meckern, wenn Webseiten plötzlich umständlich zu bedienen sind.) Im Grunde muss eh jede Annehmlichkeit mit einem gewissen Risiko "bezahlt" werden. Wer mit dem Auto fährt, riskiert in einen Unfall verwickelt zu werden (möge Gott uns alle davor bewahren), wer JavaScript aktiviert hat, riskiert halt den ein oder anderen Erreger.
Den Status "sicher" verliert man, sobald man sich außerhalb eines geschlossenen Netzwerkes bewegt.

Das Problem ist, dass viele Seiten im Netz sind, die ungeschützt und demnach einfach zu knacken sind. PHP ist eine einfach zu lernende Sprache und demzufolge sehr beliebt, aber sie lädt halt auch zum unsauberen Programmieren ein und man sieht bei erstaunlich vielen Seiten immer wieder die gleichen, grundlegenden Fehler. Zudem sind viele Server im Netz, die mit veralteten PHP-Versionen laufen und viele Hoster machen immer noch Einstellungen zum Standard, von denen bekannt ist, dass sie Tür und Tor öffnen; der unkundige Laie übernimmt das dann halt.

JavaScript wird erst zur Gefahr, wenn die dahinter liegende Technik versagt hat bzw. die dafür zuständigen Menschen. Wenn man sie richtig nutzt, kann jede Technik zur Waffe werden. Ich will nicht wissen, was man alles mit PHP anstellen könnte ...

Hallo Ihr Beiden. Denke wir sehen das Thema JS-Sicherheit sehr ähnlich.
Um bei Oskars Auto-Beispiel zu bleiben. Schraubt man nen Rennwagen in einer Wald und Wiesen-Werkstatt zusammen, kommt da immer ein wenig Sand ins Getriebe.

Eine Webseite ist oftmals fix geknackt. Das fängt beim Passwort: Mutti; Mutti an und endet bei der Validierung der Daten via Javascript auf.

@ Ralph, die Idee aus der letzten Woche "Das angreifende Script baut und konfiguriert sich selbst" fand ich da schon gefährlicher