Kommentare aus der AMAZONAS-Box
Politik und Technik aus München - Pazifistisch
mit dem Fahrrad (Peace, cycling and more)

BSI zu Skripting ...

Donnerstag, 18.8.2005    

BSI gibt Tipps für Web-Seiten ohne aktive Inhalte: (hier aus der Computerwoche). Auf der Sonderseite (!) vom "Bundesamt für Sicherheit in der Informationstechnik" heißt es: Bei Aktiven Inhalten handelt es sich um zusätzlichen Programmcode (wie JavaScript, Flash, etc.), der im Webbrowser auf seiten des Anwenders ausgeführt wird. Webseiten, die ohne Aktive Inhalte nur teilweise oder gar nicht funktionieren, verführen den Anwender dazu, die Sicherheitseinstellungen in seinem Browser zu lockern. Hierdurch kann es zu ganz unterschiedlichen Gefährdungen kommen.

Was ist paradox? Daß dieser Tip ausgerechnet vom Schockwellenreiter kommt, der jüngst erst Trackback und Kommentare (und Anzeigen) via Javascript mit Haloscan einbaute, obwohl ich im eine Seite zeigte, bei der Haloscan auch ohne Javascript geht. Muß dann wohl wg. der Anzeigen so bleiben - also kein Trackback von mir :-(

Ich komme mir bei solchen Argumenten oft vor wie beim Kampf gegen die Windmühlenflügel - ich kann mich aber doch nicht dumm stellen! Einen Teil der Argumente hab ich hier schon angeführt.

Das BSI und ich meinen, dass "Client-Side-Scripting" böse ist im Gegensatz zu "Serve-Side-Skripting". Längst sind die Server so preiswert zu chartern, daß Server-Side Skriptsprachen kain Problem mehr sein dürften! Die Sonderseite führt deshalb Beispiele auf, wie E-Commerce (z.B.) auch ohne aktive Inhalte klappt! Ich schrieb es schon - daß Drupal ganz ohne Javascript lauffähig ist, war seinerzeit ein KO-Kriterium für mich.

javascript kritisch aber objektiv betrachten

das Problem liegt ja nicht in der Client Side Scriptsprache sondern in der Implementierung des Interpreters und den Rechten die das Programm letztlich hat (frag mich grad warum die java policies nicht übernommen wurden...wenn netscape schon "java" als prefix benutzt, andererseits scheints hier auch keine vernünftige w3c-ähnliche Interessengruppe zu geben...)

dazu kommt mangelnde Kenntnis des Nutzers (durch Browser Hersteller die den Nutzer nicht richtig unterstützen)

AJAX, SAJAX und wie sie alle heißen mögen find ich jedenfalls interessant und nützlich

objektiv? - Du machst Scherze

objektiv? - Du machst Scherze ;-)

Ok, mein Hauptproblem hat glaub ich weniger mit der Implementierung zu tun, sondern: beim Surfen gehe ich "massenweise" auf fremde Seiten. Wenn ich mir ausführbaren Code (=JS z.B.) runterlade, kann die anonyme Software ziemlich viel mit dem Browser anstellen ohne mich zu fragen. Die sog. "sinnvollen Sachen" gibts, aber ich surfe ja nicht nur auf vertrauten Seiten.

Hier will ichs nicht auswalzen, noch soviel: Es gibt eine Initiative "unobtrusive Javascript". Ähnlich sehe ich wie das Drupal-Team drauf achtet, daß die Funktionalität auch ohne JS gewahrt bleibt, damit bin ich zufrieden :)