W3C stellt Entwurf für Krypto-API vor

[Annika_Kremer]

Das für die Standardisierung von Internet-Anwendungen zuständige World Wide Web Consortium (W3C) stellte am vergangenen Donnerstag einen ersten Entwurf für die Integration einer Kryptographie-API in Webbrowsern vor. Diese soll auf Basis von JavaScript arbeiten und sieht verschiedene Sicherheits-Funktionen für Internet-Anwendungen vor.

zur News

[kanser]

Ich dachte Java Script selbst wird als Sicherheits Lücke verendet und deshalb von einigen Nutzern deaktiviert. Und jetzt soll ein Sicherheits standst davon abhängig sein? Das verleitet doch einen dann dazu das unsichere Java Script zu genehmigen. Was wird denn im Effekt sicherer sein J.S. Deaktiviert oder diese Krypto-API?

[markantelli]

Der Duden wäre sicherer.
Ok, der hilft vermutlich auch nicht weiter, ein (IT-)Lexikon wäre vielleicht besser.

Java ist nicht Javascript!

[kanser]

Kenn den unterschied zwischen java und java script im Artikel ist von Java Script die Rede und hatte im Hinterkopf das welche aus Sicherheitsgründen Java Script im Browser deaktivieren willst Mr etwa sagen das Java Script absolut sicher ist (ist eigentlich egal da ich aus Bequemlichkeit beides standst mäßig aktiv habe wie wohl auch die meisten anderen dachte halt eher an die paranoideren bzw. Sicherheits bewussteren)

[BENGANTikrist]

Kenn den unterschied zwischen java und java script im Artikel ist von Java Script die Rede und hatte im Hinterkopf das welche aus Sicherheitsgründen Java Script im Browser deaktivieren willst Mr etwa sagen das Java Script absolut sicher ist (ist eigentlich egal da ich aus Bequemlichkeit beides standst mäßig aktiv habe wie wohl auch die meisten anderen dachte halt eher an die paranoideren bzw. Sicherheits bewussteren)

Aktuell Java deaktiviert zu haben ist sicher nicht paranoid, sondern sehr zu empfehlen.
JS kann man deaktivieren, ist aber imo nicht seeehr sicherheitspositiv. Du kannst u.U. weniger getrackt werden, aber z.B. Änderungen am Filesystem sind damit durch sehr restriktive Browservorgaben nicht möglich - zu Recht.

[Kirby_Link]

JS kann man deaktivieren, ist aber imo nicht seeehr sicherheitspositiv. Du kannst u.U. weniger getrackt werden, aber z.B. Änderungen am Filesystem sind damit durch sehr restriktive Browservorgaben nicht möglich - zu Recht.

JavaScript ist zudem auch noch gut zu Missbrauchen, um Cross-Site-Scripting Angriffe durchzuführen.
Gefährlich kann das unter anderem bei Onlineshops sein, die unzureichend geschützt sind. Da lässt sich mit XSS und JS sehr schön die Cookies klauen. Und hat der Angreifer dein Cookie, kann er mit deinem Account schön einkaufen gehen.

[Tombi]

JavaScript ist zudem auch noch gut zu Missbrauchen, um Cross-Site-Scripting Angriffe durchzuführen.
Gefährlich kann das unter anderem bei Onlineshops sein, die unzureichend geschützt sind. Da lässt sich mit XSS und JS sehr schön die Cookies klauen. Und hat der Angreifer dein Cookie, kann er mit deinem Account schön einkaufen gehen.

Wenn der Shop vor dem entgültigen Einkauf nochmals die IP-Adresse mit der beim Einloggen verwendeten IP-Adresse abgleicht (sollte neben der Session/Cookie Daten eben dann auch für kurze Zeit noch zwischengespeichert werden und mit Löschung der Session entfernt werden), so ist diese Lücke auch geschlossen.

[P7BB]

Das ist die mit Abstand schlechteste Umsetzung, um XSS zu verhindern.
Angenommen jemand ist Mitarbeiter bei einem großem Unternehmen und kauft von dort etwas über seinen privaten Account bei einem Onlineshop. Jetzt kann ein anderer Mitarbeiter weiterhin erfolgreich den Angriff ausführen. Die Symptome bekämpfen bringt keine vollständige Sicherheit, sondern erschwert maximal den Angriff.

Um zur Frage zurückzukehren, wieso es Sicherheitsstandards für JavaScript geben sollte: Viele moderne Webseiten nutzen JavaScript. Dazu würde beispielsweise auch Facebook zählen und da sollte dann auch klar sein, dass mehr als 90% der Nutzer vermutlich keine Ahnung von IT-Sicherheit haben und JavaScript aktiviert haben. Am PC ist das grundsätzlich kein so großes Problem wie beim Smartphone, denn in der Regel befindet man sich mit seinem PC ja in einem bekannten Netzwerk (nämlich dem eigenem). Beim Smartphone betritt man jedoch gerne mal in der Öffentlichkeit ungesicherte Netzwerke, bei denen Daten extrem einfach mitgelesen werden können.
Wenn man da mal an die ganzen WebSockets (meistens eher bei größeren Seiten - umso größer ist dann auch das Risiko, Opfer einer Attacke zu werden) denkt, ist auf eine sichere Verwendung von JS auf Dauer nicht verzichtbar.

Und zu guter Letzt: Die Entwicklung in Sachen Informatik geht momentan klar in Richtung Webanwendungen. Da ist es dann durchaus sinnvoll, auch clientseitig wichtige Kryptografie-Funktionen bereit zu stellen.

[markantelli]

Kenn den unterschied zwischen java und java script im Artikel ist von Java Script die Rede und hatte im Hinterkopf das welche aus Sicherheitsgründen Java Script im Browser deaktivieren

Kenne ich. Die Sicherheitslücke, von der du dachtest, dass die "verendet" wird, betrifft aber Java (6.x und 7.x) und nicht Javascript.

[Trollolol]

Er sprach allgemein von Javascript als Sicherheitslücke weshalb es verendet wird und nicht einer bestimmten in Java.
Ich war beim Lesen der News auch etwas irritiert, weil ich Javascript ebenfalls als erhöhtes Sicherheitsrisiko im Kopf habe, das am Besten deaktiviert wird, weshalb man wichtige Funktionen in Webseiten nicht allein darauf stützen lassen sollte.
Allein schon wegen der Barrierefreiheit und wie P7BB schon sagte mobiles Internet (Unobtrusives JavaScript).

[kanser]

Aktuell Java deaktiviert zu haben ist sicher nicht paranoid, sondern sehr zu empfehlen.

Ja ich weis aber da hier die Meinungen auseinander gehen (sei es aus bequemlichkeit oder einfach weil es welche gibt denen es egal ist wenn sie sich was einfangen; ja im ernst hab das öfters gehört dann heist es sie Formatieren einfach wenn was passiert) habe ich extra noch

bzw. Sicherheits bewussteren)

geschrieben.

JavaScript ist zudem auch noch gut zu Missbrauchen, um Cross-Site-Scripting Angriffe durchzuführen.
Gefährlich kann das unter anderem bei Onlineshops sein, die unzureichend geschützt sind.

Unteranderem ist das das was ich meinte. Da verleitet doch diese API einen JS zu aktivieren. Bzw. stellt euch mal vor der Online Shop kommt auf die Idee JS zur Pflicht zu machen nur um die besagte API zu nutzen.

Um zur Frage zurückzukehren, wieso es Sicherheitsstandards für JavaScript geben sollte

War nicht meine Frage falls an mich gerichtet. Ich hab das so verstanden das es sich nicht um ein Sicherheitsstandart für JS handelt sondern um ein Sicherheitsstandart welche von JS abhängig ist. Sicherheitsstandarts für JavaScript sind mir immer wilkommen solange sie keine nachteile mitbringen aber Abhängigkeit von JavaScript wäre als müsste man sich zwischen Pest oder Cholera entscheiden. Kann ja sein das ich mich hierbei irre deshalb hab ich das auch geschrieben um meinungen zu hören.

da sollte dann auch klar sein, dass mehr als 90% der Nutzer vermutlich keine Ahnung von IT-Sicherheit haben und JavaScript aktiviert haben.

Ich glaub das ist wohl jedem hier klar zumal ich nicht sagen würde das ich garkeine Ahnung von IT-Sicherheit habe aber dennoch wie oben beschrieben sowohl JS als auch Java am laufen habe.

[P7BB]

Ich glaub das ist wohl jedem hier klar zumal ich nicht sagen würde das ich garkeine Ahnung von IT-Sicherheit habe aber dennoch wie oben beschrieben sowohl JS als auch Java am laufen habe.

Das habe ich dir auch nicht unterstellt, sondern die Rede war im Allgemeinem von Facebook-Nutzern Nicht dass es zu Missverständnissen kommt...