Thema der Woche

2. Januar 2001

Gute Vorsätze

Wer gute Vorsätze wie "Rauchen aufgeben", "früher im Büro", "früher zu Hause" oder "Termine halten" schon wieder gebrochen hat oder solch hehre Ziele sicherheitshalber gleich ausgespart hat, für den hätten wir da einen Vorschlag, der vermutlich leichter durchzuhalten ist: Mehr Meckern! Natürlich nicht immer und überall, sondern gezielt dort, wo es Missstände anzuprangern gilt... oder wo man Menschen freundlich auf die Sprünge helfen kann, dass ihre Werke ein wenig das Ziel verfehlen.

Webseiten sollen informieren. Wenn ein Besucher statt Informationen auf einer Webseite eine weiße Fläche vorfindet, dann verfehlt diese Seite ihr Ziel. Links sollen verknüpfen. Wenn ein Besucher auf einen Link klickt und nicht weitergeleitet wird, verfehlt dieser Link sein Ziel. Viel zu oft passiert so etwas sicherheitsbewussten Surfern, die in ihrem Browser aufgrund von externer Link BSI-Empfehlungen, berufsbedingter Paranoia oder gesundem Menschenverstand aktive Inhalte (und somit auch JavaScript) normalerweise deaktiviert haben. Ist ein solches Verhalten bei E-Commerce-Websites oder hippen Homepages vielleicht nur ärgerlich, so ist es zumindest beim Internetauftritt von Sicherheitsfirmen unverständlich und widersinnig – leider aber keine Seltenheit.

Wie kann ein Unternehmen Sicherheit "verkaufen" wollen und gleichzeitig den Besuchern seiner Website ein Sicherheitsrisiko aufnötigen, indem es keine Navigation oder Information ohne JavaScript zulässt? JavaScript ist zwar nicht der Untergang des Abendlandes. Angesichts der Vielzahl der auftretenden Sicherheitslücken und seines zumeist völlig überflüssigen Einsatzes ist JavaScript aber ein Risiko, das es zu vermeiden gilt. Solange Internet-Browser keine einfache Möglichkeit bieten, JavaScript in einfacher Weise auf vertrauenswürdige Sites zu beschränken, verführt eine Website, die JavaScript erfordert, den Besucher dazu, aktive Inhalte generell zu gestatten und sich (und seine Firma) somit einer überflüssigen zusätzlichen Gefahr auszusetzen, wenn er später unbekannte Sites besucht.

Solange Website-Betreiber kein hinreichend starkes negatives Feedback erhalten, wenn sie unnötigerweise auf aktive Inhalte bauen, wird sich vermutlich nichts ändern. Wenn Sie also nächstes Mal auf eine solche Site stoßen, ignorieren Sie diese nicht einfach nur, sondern klären Sie doch die Leute in einer freundlichen E-Mail auf, warum Sie sie künftig ignorieren werden. Oft wissen die Anbieter nicht einmal, dass JavaScript Probleme verursachen kann – bei Sicherheitsfirmen sollte einem das dann allerdings zu denken geben.

PS:
Aktuellen Meldungen zufolge hat sich nun auch Macromedia Flash dem Reigen der sicherheitskritischen Implementierungsfehler beigesellt: Ein Buffer-Overflow soll in allen Browsern mit Flash-Plugin die Ausführung beliebigen Codes ermöglichen (vgl. externer Link Heise-Tickermeldung).
PS2:
Da nun auch Netscapes aktueller Browser endlich HTML 4 ausreichend gut unterstützt, werden wir zunehmend HTML-4-Steuercodes in unseren Seiten verwenden – falls Sie vor diesem Nachsatz statt eines Gedankenstrichs nur "–" oder ein Platzhalterzeichen sehen, unterstützt ihr Browser diesen Code nicht. Wir empfehlen das Update auf die jeweils neueste Version oder die Nutzung eines HTML-4-fähigen Browsers.
Kritik zu diesem Vorgehen nehmen wir gerne per E-Mail an html4@kes.de entgegen.