pcnews Von: Martin Weissenboeck [mweissen@ccc.at] Gesendet: Dienstag, 12. Januar 1999 07:08 An: agtk@ccc.or.at Betreff: AGTK 99012: Java und ActiveX AGTK 99012: Java und ActiveX. 12.01.99 Studie: Java sicherer als ActiveX Bei unbeschraenktem Netzzugang bieten vertrauensbasierte Verfahren keinen wirksamen Schutz Bonn (pte) (9. Jaenner 99/15:59) - Eine vom Bundesamt fuer Sicherheit in der Informationstechnik (BSI) in Bonn in Auftrag gegebene Studie beschaeftigt sich mit den fuer die Anwender unter Umstaenden erheblichen Risiken durch ausfuehrbare Inhalte von HTML-Seiten (z.B. ActiveX Controls, Java Applets). Die Studie analysiert Java und ActiveX hinsichtlich ihres Bedrohungspotentials bzw. der Wirksamkeit ihrer Sicherheitsansaetze und kommt dabei zum Ergebnis, dass die Java Technologie prinzipiell den weitaus wirksameren Schutz bietet. http://www.bsi.de/aktuell Als Hauptproblem bei ausfuehrbaren Inhalten wird die mangelnde Vertrauenswuerdigkeit der Quelle angesehen. Die Risiken bestehen sowohl fuer den Zielrechner als auch fuer dessen komplette Systemumgebung. Befindet sich der Zielrechner beispielsweise im Intranet einer Firma oder Behoerde, so steht einem Angriff in Form einer ausgefuehrten Applikation das gesamte Netzwerk zur Verfuegung. Firewalls sind fuer diese Bedrohung keine wirksame Gegenmassnahme, da ein derartiger Angriff seinen Ursprung im Inneren des Netzwerks hat. Diesen Risiken wurde beim Design der beiden meist verbreiteten Technologien, Java und ActiveX auf unterschiedliche Weise Rechnung getragen: durch Sandboxing und vertrauensbasierte (trust based) Verfahren. Microsofts ActiveX verwendet ausschliesslich vertrauensbasierte Verfahren. Grundprinzip der Java Sicherheitsmechanismen ist das sogenannte Sandboxing-Verfahren. Sowohl Microsofts Internet Explorer als auch Netscapes Navigator zeigen im Detail Verhaltensweisen, die von der Sun Referenzimplementierung abweichen, und die zusaetzlich von der verwendeten Version abhaengig sind. Die Studie kommt zu dem Ergebnis, dass in Umgebungen, wo der Zugriff im Netz auf wenige, Seiten beschraenkt wird, vertrauensbasierte Verfahren eine akzeptable Wahl sind. Bei unbeschraenktem Zugang zum Internet jedoch bieten diese ActiveX Techniken allein keinen hinreichenden Schutz. Dies ist auf die grosse Zahl der Angebote im Internet zurueckzufuehren, die zwar ungefaehrliche Funktionalitaet bieten, aber nicht als vertrauenswuerdig zertifiziert sind. Will man den Benutzer nicht von 80 % der Angebote im WWW ausschliessen, muss zwangslaeufig die Vertrauenspolitik des lokalen Rechners geaendert werden. Zusaetzliche Risiken entstehen durch trojanische Programme, die den Vertrauenstest bestehen. Da ActiveX Controls aus beliebigem Code entwickelt werden koennen, entsteht auf diese Weise ein hohes Gefaehrdungspotential. Die Sandbox-Technologie von Java bietet einen wirksameren Schutz. Der Benutzer kann davon ausgehen, dass jedes ausgefuehrte Programm einer strikten Kontrolle zur Laufzeit unterliegt, die die Risiken vermindert oder zum Teil sogar ausschliesst. Dabei muessen allerdings die schon erwaehnten Einschraenkungen, wie geblockte wichtige Netzwerkverbindungen zu Datenbanken, fuer den Benutzer in Kauf genommen werden. Abhilfe schafft hier die Kombination beider Konzepte, wie sie in der neuen Version der Java Laufzeitumgebung enthalten sind. (hightext) Chipkarten fuer digitale Unterschrift Deutsche Telekom als erstes Trust Center zugelassen Frankfurt (pte) (7. Jaenner 99/08:00) - Die Deutsche Telekom AG http://www.dtag.de hat jetzt mit der Ausgabe von elektronischen Chipkarten begonnen, die den Richtlinien des deutschen Signaturgesetzes entsprechen. Damit koennen Kunden erstmals elektronische Daten rechtsverbindlich am Computer unterschreiben. Die "digitale Signatur" kann ab sofort bundesweit bei den rund 500 T-Punkten beauftragt werden. Die Deutsche Telekom ist damit das erste Unternehmen, das von der Regulierungsbehoerde fuer Telekommunikation und Post als Betreiber eines signaturgesetzkonformen Trust Centers zugelassen wurde. Die digitale Signatur ist das elektronische Ebenbild der persoenlichen Unterschrift und schafft die Voraussetzung fuer den sicheren Austausch von Daten in der Computerkommunikation und ueber das Internet. Damit kann beim Datentransport in offenen Telekommunikationsnetzen erstmals festgestellt werden, von wem ein Dokument stammt und ob es bei der Uebermittlung verfaelscht wurde. Anwendungsgebiete sind elektronische Steuererklaerungen, Onlinebanking, Telemedizin, Datenarchivierung, Vertragsuebermittlungen und der elektronische Behoerdenverkehr. (horizont) Daten-Abgleich bei Yahoo Kalender, Adressbuecher und ToDo-Listen uebers Internet Wien (pte) (25. Dezember 98/15:22) - Elektronische Kalender und Adressbuecher sind eine praktische Sache. Sie piepsen, wenn man einen Termin schon fast vergessen haette und ein Klick genuegt, um eine Telefonverbindung zu einem Datenbankeintrag herzustellen. Doch fast alle Systeme haben ein grosses Problem: Der Abgleich zwischen den Daten auf einzelnen Rechnern und anderen Geraeten ist teilweise so schwierig, das sich viele fuer die Benutzung nur eines Systems entscheiden. Die Motorola-Tochter Starfish Software hat jetzt fuer Yahoo eine Software entwickelt, die dieses Problem loesen koennte. Mit dem kostenlosen TrueSync Plus fuer Yahoo! lassen sich Yahoo-Kalendereintraege, -Adressbuecher und -ToDo-Listen ueber das Internet abgleichen. So soll es moeglich sein, die von Yahoo angebotenen Dienste von verschiedenen Desktops und auch mit portablen Geraeten zu benutzen. So schoen diese Moeglichkeiten aber auch scheinen. Man muss sich dennoch immer wieder vor Augen halten, dass man bei der Nutzung solcher Dienste persoenlichste Informationen an ein fremdes Unternehmen weitergibt. Info: http://www.starfish.com/news/yahoo/tsyahoo.html und http://calendar.yahoo.com/ und http://address.yahoo.com/ (intern.de) AOL Instant Messenger zur freien Verfuegung Tageszeitung fuer Mac-User Muenchen (pte) (28. Dezember 98/07:00) - Der mit ueber 12 Millionen Usern weltgroesste Online-Dienst AOL stellt jetzt allen Internet-Nutzern den AOL Instant Messenger kostenlos zur Verfuegung. Damit koennen zwei Funktionen genutzt werden, die bisher nur AOL-Mitgliedern vorbehalten waren: die Buddyliste, die anzeigt, ob Freunde, Bekannte oder Geschaeftspartner momentan online sind, und die Telegramm-Funktion, mit der man sich ohne Zeitverzoegerung von Bildschirm zu Bildschirm unterhalten kann. Zudem wurde das Netzwerk verbessert und bietet vor allem eine hoehere analoge Zugangsgeschwindigkeit. Unter http://www.aol.de koennen Interessierte die notwendige Instant-Messenger-Software herunterladen. (horizont) Wie beginnt ein Mac-User seinen Tag? Nachdem er aufgestanden ist und wie jeder 'normale' Mensch sein eMail-Postfach entleert hat, ruft er erst einmal die Seite maccentral.com auf. Dort findet er Top-News rund um den - genau - Macintosh. Bei MacCentral handelt es sich um kein Nebenprodukt einer Mac-Zeitschrift, die halbherzig alle paar Tage einen neuen Artikel der Printausgabe ins Netz stellt. Statt dessen wird die Homepage taeglich mehrmals aktualisiert und ist somit eine sehr gute Informationsquelle. http://www.maccentral.com --- MfG Martin Weissenboeck --- --- E-Mail: mweissen@ccc.at Tel: +43-1-369 88 58-10 --- Gatterburggasse 7, A-1190 Wien Fax: +43-1-369 88 58-77 ------- This message was distributed via the Listserver of the CCC (Computer Communications Club) - (e-mail 'ccc@ccc.or.at' for info's). To unsubscribe from the list send a message to listserv@ccc.or.at with the following command in the message body: 'unsubscribe agtk' .