G 5.88 Missbrauch aktiver Inhalte

Aktive Inhalte sind Programmteile oder Skripte, die im Browser ausgeführt werden. Weit verbreitete Arten von aktiven Inhalten sind JavaScript, Java-Applets, ActiveX-Elemente, Flash etc. Sie dienen häufig dazu, Webseiten interaktiver zu gestalten, besondere grafische Effekte zu erzielen oder Multimedia-Inhalte einzubetten.

Andererseits können aktive Inhalte jedoch auch gezielt zu dem Zweck erstellt worden sein, vertrauliche Daten auszuspionieren, Manipulationen vorzunehmen oder den Computer mit Schadprogrammen zu infizieren. Auch Angriffe auf die Verfügbarkeit des jeweiligen Clients sind möglich. Die gängigen Browser enthalten Sicherheitsmechanismen, die die Zugriffsmöglichkeiten von aktiven Inhalten einschränken. Es werden jedoch immer wieder Schwachstellen und Möglichkeiten bekannt, diese Sicherheitsmechanismen zu unterlaufen.

Die folgenden Aspekte tragen dazu bei, dass das Ausführen aktiver Inhalte zu Sicherheitsproblemen führen kann:

Anders als bei Java und JavaScript ist die Funktionsvielfalt von ActiveX-Controls kaum eingeschränkt. Die Controls können direkt auf dem Rechner ablaufen und Zugriff auf die Hardware und das Betriebssystem haben. Aufgrund dieser vielfältigen Zugriffsmöglichkeiten ist mit der Ausführung von ActiveX-Komponenten ein hohes Risiko verbunden.

Bei entsprechender Voreinstellung seines Browsers kann ein Benutzer dafür sorgen, dass nur digital signierte ActiveX-Controls ausgeführt werden. Eine solche gültige Signatur beweist allerdings nur, dass der Hersteller des ActiveX-Controls bei einer Zertifizierungsstelle bekannt ist und dass das von diesem Hersteller bereitgestellte Control unverändert geladen wurde. Hierdurch wird nichts über die Funktionsweise oder Unbedenklichkeit eines solchen Controls ausgesagt und auch keine Gewähr dafür übernommen.