FITUG e.V.

Förderverein Informationstechnik und Gesellschaft

Warum ist Active X gefährlich?

Microsoft will mit eigener Internet-Technologie Standards setzen und hat, gewissermaßen als Konkurrent zu Java, seine Active-X-Technik entwickelt. Im Gegensatz zu Java lauern hier Gefahren für den Computer des Websurfers.

Was ist eigentlich ein Active-X-Control?

Ein Active-X-Control ist ein kleines Windows-Programm, das sich nur mit Hilfe eines Web-Browsers ausführen läßt. Wenn Sie im Internet auf eine mit einem Active-X-Control ausgestattete Seite kommen, werden nicht nur Text und bunte Bilder angezeigt, sondern auch ein Programm auf Ihren Rechner geladen und ausgeführt. Im ungünstigsten Fall merken Sie gar nicht, daß ein Active-X-Control in eine Web-Seite eingebunden ist und automatisch ausgeführt wird, während Sie die Seite anschauen und sich in trügerischer Sicherheit wähnen.

Hinter einem Active-X-Control verbirgt sich also nichts anderes als ein normales Windows-Programm. Es kann also alles tun, was auch jedes andere Windows-Programm tun kann: Daten von Ihrer Festplatte übers Netz versenden, Viren installieren - oder einfach nur die Festplatte formatieren. Active-X-Programme sind also ein Risikofaktor und sollten nur unter bestimmten Voraussetzungen eingesetzt werden.

Der Chaos Computer Club demonstrierte der Öffentlichkeit die Risiken von Active X: Die Hacker programmierten ein Active-X-Control, das der Finanz-Software Quicken einen Überweisungsauftrag unterjubelte. Der Auftrag wurde so gespeichert, daß er beim nächsten T-Online-Connect automatisch ausgeführt würde.

Active-X-Programme laufen derzeit nur mit dem Microsoft Internet-Explorer ab Version 3. Damit Active-X-Controls mit einem Netscape-Browser funktionieren, muß man ein spezielles Active-X-Plug-in installieren.

Beim Installieren von Active-X-Komponenten wird manchmal ein 'Zertifikat' angezeigt. Wer Active-X-Programme schreibt, kann sich ein solches 'Zertifikat' besorgen, das nach dem Laden der Webseite angezeigt wird. Dieses Zertifikat soll garantieren, daß das Active-X-Control wirklich im Originalzustand vorliegt. Gewährleistet wird das durch eine verschlüsselte Quersumme, die beim Herausgeber des Zertifikats hinterlegt ist und die mit der des Programms verglichen wird. Ein gültiges Zertifikat heißt jedoch keinesfalls, daß Sie einem Active-X-Control blind vertrauen können. Der bisher einzige Zertifizierer, Verisign Commercial Software Publishers CA, prüft nicht, was ein Active-X-Control auf einem Rechner anstellt, sondern nur, ob das Programm nach der Zertifizierung verändert wurde. Nachdem jeder sein Active-X-Control zertifizieren lassen kann, besteht auch die Möglichkeit, daß gefährliche oder schädliche ActiveX-Controls ein Zertifikat bekommen. Dabei muß nicht einmal böse Absicht des Programmierers im Spiel sein, denn "Man soll nie Absicht vermuten, wo Dummheit als Begründung ausreicht." Insofern hat das Zertifikat höchst zweifelhaften Wert.

Wird auf einer Webseite ein Zertifikat angezeigt, hängt es davon ab, wo Sie sich befinden: Handelt es sich um eine renommierten Firma, können Sie ein zertifiziertes Active-X-Control ohne großes Risiko installieren. Befinden Sie sich dagegen auf einer privaten oder halbprivaten Seite, sollten Sie auch mit zertifizierten Komponenten sehr vorsichtig sein. Programmierfehler können sich natürlich auch in Controls großer Unternehmen befinden.

Was unterscheidet Active X, Java und Javascript?

Java ist als vollwertige plattformunabhängige Programmiersprache konzipiert. Anders als Active-X-Controls laufen Java-Applets aber in einer sogenannten 'Sandbox' (einem 'Sandkasten'), aus dem sie nicht herauskommen. So wie kleine Kinder zum Spielen im Sandkasten bleiben müssen, damit sie kein Unheil anrichten oder sich wehtun, laufen Java-Programme auf einem 'virtuellen Rechner' und haben aus diesem heraus keinerlei Zugriff auf die Festplatte oder andere Resourcen des Rechners. Von der Syntax her sieht Java der Progammiersprache C++ recht ähnlich.

Javascript ist eine C++-ähnliche Script-Sprache mit begrenzten Fähigkeiten. Da Java sehr umfangreich ist und sich für Programmieranfänger weniger eignet, wurde diese recht einfache Skriptsprache entwickelt. Ein Javascript-Programm ist immer im Klartext im Quellcode der HTML-Seite zu sehen und wird Schritt für Schritt abgearbeitet. Mit Javascript kann man weder lesend noch schreibend auf die Festplatte zugreifen und außer dem Browser keine anderen Programme steuern.

Einstellungen des MS Internet Explorers für sichere Handhabung von Active X:

Um zu den Sicherheitseinstellungen des Explorers zu gelangen, gehen Sie ins Menü 'Ansicht', Unterpunkt 'Optionen' und wählen Sie die Karte 'Sicherheit'. Klicken Sie nun auf 'Sicherheitsgrad', und stellen Sie ihn auf 'Hoch'. Die Sicherheitsgrade haben folgende Eingenschaften:

Nun können Sie gleich noch einige generelle Einstellungen vornehmen:

'Übertragung aktiver Inhalte zulassen' ermöglicht das Herunterladen neuer Active-X-Controls. Wenn Sie keinen Wert auf Active X legen, deaktivieren Sie diese Einstellung. Active-X-Programme werden nicht mehr auf Ihren Rechner geladen. Bereits installierte Active-X-Controls bleiben funktionsfähig und aktiv.

'ActiveX-Steuerelemente und Plug-lns aktivieren' schaltet Active-X-Programme komplett ein oder aus. Ist dieses Kästchen leer, werden keine Active-X-Controls mehr ausgeführt. Sie nehmen damit aber in Kauf, daß einige Web-Seiten auf ihrem PC nicht laufen.

'ActiveX-Scripts ausführen' können Sie aktiviert lassen. Diese Option bestimmt, ob Active-X-Scripts eingeschaltet werden sollen. Dabei handeltes sich um eine Art von Batchdateien zum Aufrufen bereits installierter Active-X-Controls. Außerdem läßt sich mit dieser Einstellung Javascript deaktivieren.

'Java-Programme aktivieren' bestimmt, ob diese Programme ausgeführt werden oder nicht. Zur Zeit geht von ihnen keine Gefahr aus, da sie in einer 'Sandbox' laufen und keinen Zugriff auf das RAM oder die Festplatte haben.

Wie erfahre ich, welche Active-X-Controls schon auf meinem PC sind?

Wenn Sie schon massenhaft Active-X-Controls auf Ihrer Platte haben, hilft die Freeware 'ActiveXCavator'. Sie listet alle installierten Controls einschließlich diverser Dateiinformationen (Verzeichnis, Größe) auf und kann auch einzelne Controls löschen. Das Programm gibt es unter http://www.winmag.com/software/xcavate.htm.

Förderverein Informationstechnik und Gesellschaft, JPL, 14.08.97
webmaster@www.fitug.de