PDA

Vollständige Version anzeigen : Beitrag:


A.S.
10.05.2001, 22:06
Hallo,

den Beitrag "Sicherheit gegen JavaScript" von "Olala" habe ich nach Einsichtname des Quelltextes gelöscht. Soweit ich sehen konnte enthielt dieser voraussichtlich (habe ihn natürlich nicht bis ins kleinste zerlegt) nur eine Java-Script-Alert-Anweisung (vergleichbar einer Access-MsgBox).

Nichtsdestoweniger finde ich das dies nicht hierhergehört. Weshalb ich dieses Thema gleich auch schließen und in das Forum <a href="http://www.ms-office-forum.net/forum/forumdisplay.php?s=&forumid=43">Smalltalk</a> weiterleiten werde.

Olala wollte uns mit diesem Beitrag demonstrieren, das vom Forum - durch die Verwendbarkeit von HTML-, CSS- und Java-Tags - natürlich auch gefahren für die Nutzer desselbigen ausgehen.

Gruß

Arno Simon

<font size="1" face="Century Gothic">Moderatorenanmerkung: Überarbeitung, die durch den Wechsel der Forensoftware zum 01.01.2003 verursacht wurde.

Es wurden in diesem Beitrag Link(s) korrigiert.
jinx – 23.06.2003</font>

A.S.
10.05.2001, 22:18
Natürlich hat Olala Recht, wenn er demonstrieren möchte, das ein Forum welches HTML-Tags - und somit auch JavaScripts - zulässt eine prinzipielle Lücke für die Sicherheit der jeweiligen Anwender darstellt. Ohne die Verwendung von HTML-Tags, würde die Übersichtlichkeit der Beiträge in sich für viele Nutzer aber verloren gehen.

Ich, wie IMHO auch viele andere Nutzer dieses Forums, gehe davon aus, das alle die das InterNet und seine vielfältigen Foren nutzen über die Gefahren des Internets informiert sind. Dazu gehört auch die voraussicht entsprechende Sicherheitseinrichtungen, um gegen Trojaner etc., in seinen Systemen zu installieren, welche solche Online-Inhalte herausfiltern sollen.

Gruß

Arno Simon

Olala
10.05.2001, 22:29
Hallo Arno

Ich wollte hier niemanden beunruhigen. Das JScript enthielt nur eine MsgBox, das ist richtig.
Allerdings ist dieses Forum meiner Meinung nach sehr unsicher, da HTML-Scripte einfach in den Quelltext der Seite übernommen werden. Wie kann man denn den Links noch trauen? Es wäre kein Problem gewesen ein grosses Script wie "I love you" so zu starten, ohne MsgBox ;-) von einem beliebigen Link!
Also, Ihr solltet HTML-Code als reinen Text wiedergeben und diesen nicht in Eure Seite integrieren.

Olala

PS: Dies sollte keine Böswilligkeit sein, wirklich! Stellt Euch vor Ihr verbreitet einen Virus mit der Seite.
An sich ist sie sonst sehr schön gemacht.

Olala
10.05.2001, 22:42
>...Ohne die Verwendung von HTML-Tags, würde die Übersichtlichkeit der Beiträge in sich für viele Nutzer aber verloren gehen.

Wieso? Die sieht man doch garnicht da sie in Eure Seite übernommen werden

>Ich, wie IMHO auch viele andere Nutzer dieses Forums, gehe davon aus, das alle die das InterNet und seine vielfältigen Foren nutzen über die Gefahren des Internets informiert sind. Dazu gehört auch die voraussicht entsprechende Sicherheitseinrichtungen, um gegen Trojaner etc., in seinen Systemen zu installieren, welche solche Online-Inhalte herausfiltern sollen.

Nee nee. Da machst Du es Dir zu einfach.
Ersetze in Deinem Code im Eingabetext die HTML-Tags als Sonderzeichen und schon sollte das Problem beseitigt sein

Olala

Sascha Trowitzsch
11.05.2001, 00:31
Na ja... mir ist das alles zu akademisch!

Ciao, Sascha

A.S.
11.05.2001, 23:24
Hallo Olala,

ich habe wirklich nicht die Lust und die Zeit mich mit Dir über den Sinn und Unsinn der integration von Benutzerseitig eingebbaren HTML-Tags zu zoffen :)

Günther bietet den Benutzern seines Forums die Möglichkeit mittels anzugebender HTML-Tags ihre Beiträge in ihrem Sinne zu gestalten. Ich denke jeder Nutzer des Internets ist selbst dafür verantwortlich, welche Inhalte er nutzt und welche nicht.

Für die Sicherheit eines Links kann niemand die Verantwortung übernehmen, da dieser selbst wenn man ihn 5 Minuten vorher noch erfolgreich kontrolliert hat mittlerweile gehackt und manipuliert worden sein kann.

Dafür gibt es entsprechende Schutzmechanismen und jeder der das InterNet für seine Zwecke nutzen möchte sollte so schlau sein diese entsprechend zu nutzen, wer es nicht tut, hat eben pech gehabt. 100%igen Schutz gibt es sowieso nicht, da es eh ein immerwährender Wettlauf zwischen den Viren-/Trojaner-Programmierern und Hackern auf der einen Seite und den Entwicklern entsprechender Schutzmechanismen auf der anderen Seite ist.

Auch wenn Du der Meinung sein solltest, das ich es mir zu einfach mache, aber trotzdem bleibt es von mir dabei.

Jeder Nutzer des Internets möchte dies so unbeformundet wie möglich tun, auch Hacker und Virenprogrammierer - angeblich gerade die wie ich 'mal in einem der Foren von denen gelesen habe. Gerade mit solchen Aktionen wird jedoch versucht andere zu bevormunden.

Und das war mein letzter Kommentar zu diesem Thema....

cu

Arno