JavaScript
Inhaltsverzeichnis
JavaScript - Programmiersprache
JavaScript wurde 1995 von Brendan Eich (Netscape) unter dem Namen LiveScript für dynamisches HTML in Webbrowsern entwickelt, um Benutzereingaben auszuwerten, Inhalte zu verändern, nachzuladen oder zu generieren und so die Möglichkeiten von HTML und CSS (Cascading Style Sheets) zu erweitern. Mit JavaScript lassen sich auch interaktive Inhalte zu einer Webseite hinzufügen, beispielsweise Spiele oder Animationen.
Inzwischen wird diese Skriptspache auch außerhalb von Webbrowsern, z. B. in Servern oder Microcontrollern genutzt.
JavaScript-Bibliothek
JavaScript-Bibliotheken sind kleinere Helferskripte, die Schritt für Schritt optimierten Code für häufige Aufgaben in JavaScripten bereitstellen. Mit Hilfe von JavaScript-Bibliotheken können Programmierer komplexe Anwendungen erstellen, ohne alle Teilfunktionen neu schreiben zu müssen. Weit verbreitete und bekannte Bibliotheken sind jQuery oder Prototype.
Der Vorteil solcher Bibliotheken liegt auf der Hand, denn damit können JavaScript-Programmierer ihrem JavaScript bestimmte Aufgaben hinzufügen, ohne diese im Detail programmieren zu müssen. Der Nachteil liegt darin, dass ungeübte Programmierer nicht überprüfen können, was genau die Bibliothek alles ausführt bzw. ob und wo die Bibliothek verwundbar ist. So könnten Angreifer die Schwachstellen einer Bibliothek ausnutzen.
Häufig werden veraltete Bibliotheken eingesetzt, die vom Autor nicht mehr gepflegt werden und somit angreifbar sind.
Risiken von aktiviertem JavaScript in Webbrowsern
JavaScript bindet dynamische Objekte über den Befehl
<script type="text/javascript"> Quellcode</script>
in eine HTML- oder XML-Umgebung ein, läuft nicht eigenständig, ist nicht kompiliert, sondern wird vom Browser ausgeführt, sofern Javascript erlaubt wurde.
Hier kommen kritische Schwachstellen ins Spiel.
- Ist ein JavaScript fehlerhaft programmiert, können Sicherheitslücken entstehen, die Angreifer ausnutzen können. Das kann soweit gehen, dass der Angreifer vollständigen Zugriff auf Ihren Rechner bekommt.
- Mit JavaScript könnten Anwendern Eingabefenster von vertrauenswürdigen Webseiten vorgegaukelt werden, die zur Eingabe von Benutzernamen, Passwörter oder sonstigen sensiblen Daten auffordern. Diese Daten werden vom Angreifer abgefangen oder direkt an ihn übertragen.
- JavaScript bietet die Möglichkeit, Ziel-Links zu verscheiern, indem über spezielle Funktionen die Statusleiste des Web-Browsers verändert wird, so dass die dort angezeigte Adresse nicht der der tatsächlich verlinkten Webseite entspricht.
- Anwender fühlen sich aufgrund von Schutzprogrammen, die Skriptcode auf bösartige Funktionen untersuchen, in falscher Sicherheit, denn JavaScript bietet die Möglichkeit der Verschleierung von HTML-Tags. Dadurch werden schädliche Codes nicht erkannt und trotzdem ausgeführt.
Aus all diesen Gründen ist es wichtig und richtig, JavaScript in Ihrem Webbrowser nur auf vertrauenswürdigen Webseiten zu aktivieren. Das können Sie über Addons wie NoScript und/oder uBlock Origin realisieren. |
Weiterführende Links
- BSI: JavaScript/JScript
- Wikipedia: JavaScript
- Heise: Browsercheck - JavaScript