Diese Seite soll einen Überblick über das Thema Browser-Sicherheit geben und es ihren Lesern ermöglichen, ihr System etwas sicherer zu gestalten (perfekte Sicherheit ist leider nie zu erreichen (!) - außer vielleicht, Sie trennen Ihren Computer von allen Netzwerkverbindungen und sperren ihn in einem sicheren Raum ein...). Zu diesem Zweck werden im folgenden alle möglichen Schlagworte zum Thema Browser-Sicherheit kurz erklärt und ggfs. Ratschläge erteilt.

Nachdem nichts älter ist als die Zeitung bzw. Homepage von gestern, und gerade die Sicherheit ein sich sehr schnell änderndes Gebiet ist, legt diese Seite auch viel Wert auf ihre Links. Dort finden Sie (hoffentlich) aktuelle Informationen - und kehren überblickshalber vielleicht trotzdem gern hierher zurück. Zum Anfang hier ein paar allgemeine Links zum Thema Sicherheit, die auch für unerfahrene Benutzer vielleicht ein guter Einstieg sein können:

Überblick: Netscape, Opera und IE (schmerzend gelb)
 >[http://www.trojaner-info.de/sicherheit/browser/schritt3_neu.htm]
Der c't Browser-Check (Beschreibung der gängigen Sicherheitslücken)
 >[http://www.heise.de/ct/browsercheck/]
Linksammlung
 >[http://www.archi-tec.de/1_web/links/security.htm]
Java-/JavaScript-/Cookie-Sicherheit (veraltet, 1996)
 >[http://www.med-rz.uni-sb.de/wwwnews.html]
Empfehlungen und Verhaltensregeln
 >[http://www.uni-muenster.de/WWW/Sicherheit.html]
Empfehlungen, Links
 >[http://www.tu-berlin.de/www/software/security.shtml]
Anonymität und Sicherheit im Internet
 >[http://members.surfeu.at/privacy/about/welcome.html]
Demonstration der Spionagemöglichkeiten
 >[http://privacy.net/analyze]
Demonstration der Spionagemöglichkeiten
 >[http://www.gemal.dk/browserspy/spy.html]
Ein Programm um Werbung auszublenden
 >[http://www.webwasher.com/]
Demonstration der Spionagemöglichkeiten
 >[http://www.astalavista.com/de/ip.asp]
Personalisierung im Internet: Usertracking
 >[http://www.ecommerce.wiwi.uni-frankfurt.de/lehre/00ws/seminar/Seminararbeiten/08_loop.pdf]
W3C Security FAQ
 >[http://oliver.efri.hr/~crv/security/w3/www-security-faq.html]

 >Top

Sicherheitskonzept von Java 
 >[http://www.clickfish.com/clickfish/guidearea/computertechnik/programmierung/javaa/sicherheit]
Sicherheitsrelevante News zu Java
 >[http://java.seite.net/infos/Sicherheit101.html]
 >[http://www.decus.de:8080/www/ger/vms/decus/java/secure.htmlx]
 >[http://www.secorvo.de/publikat/javaactx.pdf]
Sun Microsystems, Entwickler von Java
 >[http://www.sun.com/]

>Top

JavaScript:
JavaScript ist eine Script-Programmiersprache (mit >Java-ähnlicher Syntax), die es Webdesignern erlaubt, Funktionen direkt in Webseiten einzubetten. Der Funktionsumfang ist an und für sich zu gering, um wirklich einen Rechner gefährden zu können, bei den großen Browsern kann JavaScript aber unter Umständen dazu benutzt werden, benutzerspezifische Daten auszuspionieren. Trotzdem ist die davon ausgehende Gefahr als eher gering einzustufen.

Javascript Beispiele
 >[http://www.js4all.de/sicher.htm]
Web Engineering
 >[http://www.teco.uni-karlsruhe.de/lehre/webe/webev210100/index.htm]
Javascript Sicherheit und Prinzipien
 >[http://www.teco.uni-karlsruhe.de/lehre/webe/webev210100/sld034.htm]

>Top

VB-Script:
VisualBasicScript ist eine von Microsoft entwickelte Script-Programmiersprache ähnlich wie >JavaScript, nur daß sie auf VisualBasic aufbaut. Sie wird nur vom Internet Explorer unterstützt und findet auf Webseiten kaum Verwendung. Aufgrund bestimmter Objekt-Klassen und Schwächen im bei der Ausführung benutzten Windows Scripting Host kann VB-Script einen Rechner ernsthaft gefährden. Diese Technik wird heute auch von vielen (Outlook-)Viren gerne verwendet, und bei der ohnehin geringen Verbreitung wird im allgemeinen empfohlen, VB-Script zu deaktivieren (wer ihn nicht anderweitig benötigt, kann sicherheitshalber auch gleich den WSH entfernen).

>Top

ActiveX:
Diese von Microsoft entwickelte Technologie soll aktive Elemente in Webseiten ermöglichen. Das Konzept ist ähnlich wie bei >Java, und die kleinen Programme werden ebenso vom Browser ausgeführt. Nur der Internet Explorer unterstützt ActiveX. Aufgrund weitreichender Möglichkeiten der Objekte und kaum vorhandenen Kontrollmechanismen stellen ActiveX-Elemente eine eklatante Gefahr dar, und es wird empfohlen, ihre Ausführung abzuschalten (sie sind zum Glück auch nicht so verbreitet).

Sicherheit in Java und ActiveX
 >[http://www.secorvo.de/publikat/javaactx.pdf]
Executable Contents
 >[http://ivs.cs.uni-magdeburg.de/~dumke/ProSem/Seitschek.htm]
ActiveX Beschreibung
 >[http://www.auhof.asn-linz.ac.at/dely82/texte/activex.htm]

>Top

Cookies:
Cookies sind kleine Informationshäppchen, die ein Webserver auf dem lokalen Rechner speichern und wieder abrufen kann. Oft enthalten sie Benutzernamen, oder werden beim Online-Shopping verwendet... Cookies enthalten nur Text und können keine Daten gefährden. Allerdings können sie gut benutzt werden, um Surf-Gewohnheiten auszuspionieren und User-Profile zu erstellen. Leider funktionieren manche Seiten nicht ohne Cookies, sodaß man sie nicht immer generell ausschalten kann. In diesem Fall könnte sich die Verwendung einer >Personal Firewall empfehlen, die selektiv Cookies blockiert ohne jedes mal nachzufragen (wenn die entsprechenden Regeln einmal existieren).

Cookies und Datenschutz
 >[http://tina.ind.ba-heidenheim.de/~lang/sicherheit/cookies.html]

>Top

PlugIns:
PlugIns sind Module, die sich über eine vordefinierte Schnittstelle in den Browser integrieren und ihn dann mit zusätzlicher Funktionalität ausstatten bzw. ggfs. Zusatzprogramme aufrufen. PlugIns sind eigene Programme, sodaß hier nicht im Detail auf sie eingegangen wird, sie können aber potentiell gefährlich sein. Es wird empfohlen, nur die wichtigsten PlugIns aus vertrauenswürdigen Quellen zu benutzen.

Real Player
 >[http://www.real.com/]
Apple Quicktime
 >[http://www.quicktime.com/]
Macromedia Shockwave
 >[http://www.macromedia.com/shockwave/download/]

>Top

WebBugs:
WebBugs sind kleine (1-Pixel-)Grafiken, die in Webseiten integriert werden. Sie werden von einem zentralen Server abgerufen und ermöglichen es damit, das Surfverhalten von Benutzern zu protokollieren. Diese Technik wird in letzter Zeit recht beliebt und stellt durchaus eine Gefährdung der Privatsphäre dar. Abhilfe kann das Surfen über einen Proxy oder eine >Personal Firewall schaffen.

Erklärung zu WebBugs
 >[http://www.winmag.com/fixes/webbugs.htm]
WebBug FAQ
 >[http://personal.sdf.bellsouth.net/sdf/m/n/mnxian/webbugs.html]

Ein Beispiel:
<img src="/cgi-bin/ivw/CP/Ecommerce/pv1.pl?" width=1 height=1 alt="">
 

>Top

Banner:
Banner sind einfache Werbegrafiken auf Webseiten. Sie sind nicht nur lästig, weil sie den Blick auf wesentliches verbauen und zusätzliche Daten geladen werden müssen, sie ermöglichen es auch, die Surfgewohnheiten auszuspionieren. Dies nicht nur beim Klick auf Banner, sondern auch durch den Abruf von zentralen Servern (z.B. bei Bannertausch-Ringen). Abhilfe kann wieder eine >Personal Firewall schaffen.

Bannertauschprogramm
>[http://www.link4link.com/]

>Top

SSL:
Oft müssen beim surfen Daten übertragen werden, manchmal (z.B. Kreditkarten-Daten beim Online-Shopping) auch sensible. Da eine Internet-Verbindung aber leicht abgehört werden kann, ist von einer unverschlüsselten Übertragung dringend abzuraten. Eine häufige Option ist die Übertragung über Secure Socket Layer. Während bei früheren Browser-Versionen die Schlüssellänge oft noch zu gering war, ist sie heute für eine vernünftige Sicherheit meist ausreichend.

>Top

Browser-Cache:
Moderne Browser speichern die zuletzt besuchten Seiten meist in einem Cache, um sie bei einem erneuten Aufruf schneller anzeigen zu können. Dies ist im allgemeinen kein Problem und auch bequem, ermöglicht es aber unter Umständen Fremden mit Zugang zum eigenen Computer, die zuletzt besuchten Seiten herauszufinden. Es empfiehlt sich also, nach dem Betrachten sensibler Daten auch den Browser-Cache zu löschen.

>Top

History:
Auch die Adressen der zuletzt besuchten Seiten werden von den meisten Browsern gespeichert. Das ist ebenfalls kein Problem, kann aber unter Umständen von Fremden (oder unter Ausnutzung von Sicherheitslücken evtl. auch von entfernten Benutzern) ausgenutzt werden, um in die eigene Privatsphäre einzudringen. Auch hier empfiehlt sich ein löschen nach dem Betrachten sensibler Seiten.

>Top

Browserunterschiede:
Die großen Browserhersteller halten sich heute längst nicht immer an Standards, sondern entwickeln auch einmal ihre eigenen. Das führt natürlich zu Inkompatibilitäten, und es implementiert auch nicht jeder Browser alle Technologien. Programmierfehler machen schließlich das Chaos komplett, und es ist heute durchaus üblich, auch einmal den Browser abzufragen und dann jeweils auf eigene Seiten zu verzweigen. Das ist nicht direkt sicherheitsrelevant, aber es empfiehlt sich jedenfalls, den eigenen Browser mit seinen Schwächen zu kennen.

Internet Explorer Homepage
 >[http://www.microsoft.com/ie/]
Netscape Communicator Homepage
 >[http://www.netscape.com/download/]
Opera Homepage
 >[http://www.opera.com/]
Tips für Webdesigner
 >[http://www.free-solutions.de/JavaScript/javascripts/browserdifferenzen.html]

Hier ein Überblick über die Sicherheitseinstellungen bei den gängigsten Windowsbrowsern:
Netscape:

Opera:

Microsoft:

>Top

Napster & Co:
Dies sind Programme zum Datei-Tausch, und sie fallen in die Kategorie Post-Browser. Sie werden heute vor allem für Musik (MP3-Format) und in zunehmendem Maß auch für Videos gern genutzt. Dabei enthalten allerdings viele dieser Programme noch gröbere Bugs, die eine Gefahr für den Rechner mit seinen Daten bedeuten können und auch ausgenutzt werden können, um die Privatsphäre auszuspionieren. Abgesehen davon kann man sich beim Datei-Tausch natürlich prinzipiell alles mögliche einfangen, je nach Art der Dateien auch Viren und Trojaner. Solche Programme sind also unbedingt mit Vorsicht zu genießen!

Napster Homepage
 >[http://www.napster.com/]

>Top

ICQ:
Auch ICQ fällt unter die Kategorie Post-Browser. Es ist ein Buddy-Tool, das anzeigt, wann die eigenen Freunde online sind, und es dann ermöglicht, mit ihnen direkt zu chatten oder auch Dateien auszutauschen. Leider sind auch bei ICQ noch längst nicht alle Bugs beseitigt, sodaß durchaus eine gewisse Gefahr für Daten und Privatsphäre besteht. Also ist auch bei der Benutzung von ICQ eine gewisse Vorsicht anzuraten.

ICQ Homepage
 >[http://web.icq.com/]
 >[http://www.icq.com/download/]

>Top

Personal Firewalls:
Dies sind Programme, die sich in den Datentransfer einschalten und die Daten nach gewissen vorher definierten Regeln filtern (die meisten besseren Firewalls enthalten dazu einen Lernmodus). Firewalls können auch unabhängig von den Browserfähigkeiten gewisse Inhalte filtern, um so eine mögliche Gefährdung der eigenen Daten zu minimieren und die Privatsphäre zu schützen. Die Bedienung wird heute immer einfacher, und die Möglichkeiten der meisten Firewalls sind für einen Durchschnittssurfer ausreichend (obwohl es durchaus gewisse Qualitätsunterschiede gibt). In Anbetracht der ständig steigenden Gefahrenquellen ist heute die Verwendung einer Personal Firewall mehr und mehr anzuraten.

ZoneAlarm Homepage
>[http://www.zonelabs.com/]
Norton (Symantec) Homepage
>[http://www.symantec.com/]

Als Beispiel soll hier der nicht mehr weiterentwickelte AtGuard dienen:

Das Dashboard, hier werden alle Laufzeit-Informationen angezeigt, wie zum Beispiel die Anzahl der geblockten Cookies und Werbebanner (Ads)

In den Einstellungen kann festgelegt werden welche Informationen vom Browser weitergegeben werden bzw. ob diese verändert werden sollen:

Diese Firewalls besitzen meist einen Selbstlern-Modus, der wie folgt funktioniert:
Wird etwas gefunden, was nach den Regeln weder durchgelassen noch ausgesperrt wird, so wird der User befragt:

Man kann dann auf Grund der Daten eine Regel erstellen oder auch eine einmalige Entscheidung treffen. Nach einer Lernphase ist es jedoch ratsam, auf diese Assistenten zu verzichten und unbekannte Vorgänge automatisch zu blockieren.

>Top

Peek-a-booty:
Dies ist ein völlig neuer (Post-)Browser der Hackergruppe Cult of the dead Cow, der in Anlehnung an >Napster & Co auf dem Peer-to-peer Prinzip beruht. Ziel ist die Ausschaltung von Zensur durch den Verzicht auf zentrale Server und redundante Speicherung von Information. Genauere Details, auch zur Sicherheit, kann man derzeit leider noch nicht sagen, der Release ist zur DefCon 2002 geplant.

Cult of the dead Cow Homepage
>[http://www.cultdeadcow.com/]

>Top

>Top