Aktive Inhalte

Aktive Inhalte sind in einer Webseite eingebundene Programmteile und Skripte. Sie sorgen für mehr Dynamik und Interaktion, die sonst so nicht möglich wäre. So lassen sich beispielsweise animierte Menüs, Formulare, Rückmeldungen, Warnungen, Videos, Animationen oder Berechnungen umsetzen.

An der im Webbrowser dargestellten Webseite ist nicht sofort erkennbar, welche Funktionen mit den aktiven Inhalten im Hintergrund ausgeführt werden. Es ist also auch möglich, Schadprogramme in aktiven Inhalten zu verbergen.

Im Nachfolgenden werden drei der häufigsten aktiven Inhalte vorgestellt.

 

 

Java

Durch den Aufruf von Java-Inhalten („Java Applets“) werden diese auf den PC heruntergeladen und im Rahmen der Webseite ausgeführt. Die Ausführung des Programms ist quasi lokal, besitzt jedoch nur beschränkte Rechte.

Durch Implementierungsfehler und Schwachstellen in Java, welche durch präparierte, bösartige Java-Inhalte ausgenutzt werden, kann das Programm jedoch uneingeschränkten Zugriff auf den Computer erlangen und möglicherweise Schadsoftware oder andere ungewollte Software installieren.

Java fällt regelmäßig durch viele ausnutzbare Sicherheitslücken auf und ist eine wahre „Virenschleuder“.

Allein deshalb lohnt es sich, grundsätzlich auf Java im Browser zu verzichten und es nur bei Bedarf zu aktivieren!

Außerdem auch hier nochmals der Hinweis, dass das regelmäßige und schnelle Installieren von Updates Pflicht ist!

 

Folgen Sie dazu diesen Anweisungen:

 

Unter Windows: Java Control Panel öffnen

  • Starten Sie das Windows-Menü Start
  • Klicken Sie auf Programme
  • Gehen Sie zu dem aufgeführten Programm Java
  • Klicken Sie auf Java konfigurieren, um das Control Panel zu starten

 

Unter Mac OS: Java Control Panel öffnen 

  • Klicken Sie auf das Apple-Symbol in der oberen linken Ecke des Bildschirms
  • Gehen Sie zu Systemeinstellungen
  • Klicken Sie auf das Java-Symbol, um das Control Panel zu starten

 

 

à  Entfernen Sie den Haken bei „Java-Content im Browser aktivieren“ und stellen Sie die Sicherheitsebene auf „Sehr Hoch“! 

 

In Firefox: Java-Inhalte im Browser deaktivieren

  • Wählen Sie aus dem Firefox-Menü Extras die Option Addons
  • Wählen Sie im Fenster „Addons-Manager“ die Option Plugins
  • Klicken Sie auf das Plugin Java (TM) Plattform, um es zu wählen
  • Klicken Sie auf Disable

 

In Chrome: Java-Inhalte im Browser deaktivieren

  • Klicken Sie auf das Chrome-Menü, und wählen Sie Einstellungen.
  • Klicken Sie am Ende des Fensters "Settings" auf Show advanced settings.
  • Scrollen Sie zu dem Abschnitt Privacy, und klicken Sie auf Content Settings.
  • Scrollen Sie im Bereich "Content Settings" zu dem Abschnitt Plug-ins.
  • Klicken Sie unter dem Abschnitt "Plug-ins" auf Disable individual plug-ins.
  • Scrollen Sie im Bereich "Plug-ins" zu dem Abschnitt "Java". Klicken Sie auf Disable, um das Java Plug-in zu deaktivieren.
  • Schließen Sie den Browser, und starten Sie ihn neu, um die Änderungen zu übernehmen.

 

Im Internet Explorer: Java-Inhalte im Browser deaktivieren

  • Nur über das Java Control Panel vollständig deaktivierbar (s.o.)

 

Safari: Java-Inhalte im Browser deaktivieren

  • Wählen Sie Safari Preferences
  • Wählen Sie die Option Security
  • Wählen Sie Plugins zulassen und klicken Sie dann auf Website-Einstellungen verwalten
  • Klicken Sie auf das Java-Element und wählen Sie Blockieren aus der Pulldown-Liste Beim Besuch anderer Websites
  • Klicken Sie auf Fertig

 

 

Flash

Der Adobe Flash Player™ ist ein eigenes Plugin für die Browser und ermöglicht ebenfalls das Abspielen von interaktiven Inhalten direkt im Browser.

Aber auch der Flash Player – genau wie Java – fällt regelmäßig durch auftretende Sicherheitslücken auf, welche ein Einfallstor für Schadsoftware sind!

Allerdings setzen viele Webseiten Flash-Inhalte ein, die sich ohne entsprechenden Flash Player nicht abspielen lassen. Ganz einfach abschalten ist hier also keine Lösung, da sonst nur eine eingeschränkte Funktionalität möglich ist. 

In Zukunft darf man aber auf Videoinhalte ohne die „Virenschleuder Flash“ hoffen, denn Alternativen wie z.B. HTML5 oder Shumway erfreuen sich zunehmender Beliebtheit. 

Empfehlenswert ist daher das Verwenden der Click-to-Play-Funktion, wie es druch die Nutzung von Browser-Addons möglich ist.. Dadurch werden nur die Flash-Inhalte angezeigt, die man als Benutzer tatsächlich sehen will und freischaltet. Auch für den Flash Player sollten Sie regelmäßig und schnell Updates installieren!

 

Empfohlene Addons: 

  • Firefox: Flashblock 
  • Chrome: FlashControl 
  • Opera: FlashBlocker 
  • Safari: ClickToFlash 
  • Internet Explorer: Für den Internet Explorer gibt es kein solches Addon. Sie können allerdings das Ausführen von Flash-Inhalten für jede Webseite bestimmen.  Wählen Sie Einstellungen, dann den Menüpunkt „Add-Ons verwalten“. Unter „Symbolleisten und Erweiterungen“ finden Sie das „Shockwave Flash Object“. Klicken Sie per Rechtsklick darauf und wählen Sie „Weitere Informationen“. Wählen Sie nun „Alle Sites entfernen“ und beenden Sie den Dialog. Ab jetzt werden Sie vor Ausführen von Flash-Inhalten bei jeder Webseite gefragt, ob das Flash Player Addon ausgeführt werden soll.

 

  

JavaScript

Auch JavaScript ermöglicht mehr Dynamik und Interaktion mit dem Benutzer auf Webseiten. Bei JavaScript handelt es sich um eine Skriptsprache, d.h. der geschriebene Code liegt in Textform vor und wird durch ein „Übersetzungsprogramm“ („Interpreter“) ausgeführt.

Da JavaScript Webseiteninhalte zum Teil dynamisch erzeugt, können auch einige Systeminformationen des Computers des Besuchers ausgelesen werden. Dies ist z.B. die verwendete Bildschirmauflösung, um den Inhalt in korrekter Größe darzustellen. Diese ausgelesenen Informationen dienen auch der Technik des Browser Fingerprintings (s.o.).

Aber auch die Verwendung von JavaScript bringt Gefahren mit sich. Denn der JavaScript Code wird im Hintergrund ausgeführt, es ist auf den ersten Blick nicht ersichtlich, welche Funktionen eine Webseite einbindet.

 

Es wird also fremder Code unter Interpretation im Webbrowser ausgeführt! Dieser Code kann auch bösartig sein – mögliche Missbrauchsszenarien sind:

  • Aufrufen von nervigen Werbe-Popups
  • Öffnen unzähliger neuer Fenster, sodass der Browser oder der Computer neu gestartet werden muss
  • Verleitung zur Installation von Malware/ Scareware

  

Auch der JavaScript-Interpreter kann Programmierfehler und Schwachstellen enthalten, die unter Umständen eine Rechteausweitung oder eine lokale Ausführung von fremdem Code erlauben. Im schlimmsten Fall erhält ein Angreifer vollständigen Zugriff auf den Computer.

Das vollständige Abschalten von JavaScript ist allerdings keine Option, denn viele Webseiten benötigen für das korrekte Anzeigen und volle Funktionalität JavaScript.

 

Deshalb ist die kontrollierte Ausführung von JavaScript-Code zu empfehlen! Das ist mithilfe von Browser Addons möglich:

 

  •   Firefox: NoScript

Mit NoScript können Sie bestimmen, welche Plugins auf welchen Webseiten ausgeführt werden dürfen. Standardmäßig werden alle aktiven Inhalte geblockt. Mit einer Positivliste („Whitelist“) können Sie vertrauenswürdige Webseiten definieren, alternativ vergeben Sie die Ausführungsrechte Schritt für Schritt.

 

  • Chrome: ScriptSafe 
  • Auch Safari bietet Möglichkeiten, JavaScript zu blocken, allerdings sind diese Möglichkeiten bisher noch nicht so komfortabel. Zum Beispiel JS Blocker 5 oder JavaScript Blocker  
  • Opera: NotScripts