Verschlüsselung - Anmerkungen zur Sicherheit
Alle Lösunden mit JavaScript bieten nur einen oberflächlichen Schutz. Das liegt nicht an der Sprache JavaScript, sondern an der Umgebung, in der sie genutzt wird:
Browser lesen Klartext, und den kann auch der User finden. Clientseitiges JavaScript liegt eben auch selbst beim Client.
Verfahren, um an einen vermeintlich geschützten Code zu kommen, gibt es viele:
- Abstellen von JavaScript = Abstellen des Schutzes
- bei "gesperrter" Maustaste: über das Menue: Ansicht-Quelltext (o.ä., je nach Browser)
- oder: rechter Mausklick außerhalb des Fensters, gedrückt auf die Seite ziehen: Kontextmenue geht auf
- oder: rechter Mausklick bei gedrückter linker Maustaste
- oder: "view-source:" vor die URL im Eingabefeld setzen
- alten Browser verwenden
- Suche im lokalen Cache
- ...
- und wenn man gar Zugriff auf den Server oder die Verbindung hat ...
Scripts, die den Gebrauch etwa einer Maustaste ausschalten, sind grundsätzlich
abzulehnen - sie verschrecken den Besucher und grenzen an Nötigung - die Maus
wurde schließlich bezahlt, die Software, um sie mit all ihren Tasten zu nutzen,
auch. Wer sie funktionsuntüchtig macht, muß mit den Konsequenzen
leben. Außerdem gibt es
natürlich Systeme mit nur einer Maustaste, Browser ohne Mausbedienung etc.
Netscape 6 setzt erfreulicherweise die bisher verbreiteten Scripts außer Kraft:
es erscheint zwar die ggf. vorgesehene Meldung, nach dem OK erscheint
das Kontextmenu aber trotzdem.
Zu den wichtigsten Schwachstellen in diesem Bereich gehören, je nach verwendeter Technik mehr oder weniger:
- lesbares Passwort im Quelltext
- lesbares Verfahren im Quelltext
- unverschlüsseltes Übertragen des Passwortes über unsichere Verbindungen
- unverschlüsselt auf dem Servergespeichertes Passwort
- Zugriff offen bei Zugriff auf das Dateisystem des Servers
- offen lesbare Speicherung im Proxiecache
- codierter Teil liegt für den Zugriff von Dekodierverfahren vor
--> Für wirklich sensible Daten sollte ein anderes Verfahren
gewählt werden - aber:
Sollte man wirklich sensible Daten
tatsächlich in's Internet stellen?