INS-ecommerce

Schlechte Wahl: Zugriffsschutz von Webseiten per Javascript

Vor längerer Zeit habe ich ja mal über Security by Obscurity Teil III: Qype und Javascript geschrieben und warum es eine schlechte Idee ist, sich für den Zugriffsschutz alleine auf Javascript zu verlassen. Und ich schrieb damals:
"Leider zeigt die Erfahrung, dass solch eine Technik leicht von anderen Programmierern übernommen wird, um dann bei anderen, wesentlich kritischeren Sicherheitsabfragen, verwendet zu werden. "

Ich weiss nicht, ob die Programmierer von virtualnights.de (eine Art StudiVZ ohne "Studi" bei dem das "gruscheln" stattdessen "Auf einen Milchkaffee einladen" heisst, für Leute, die anscheinend noch nie etwas vom "Recht am eigenen Bild" gehört haben) das Konzept von Qype übernommen haben, oder sich von irgendeinem anderen Web 2.0 Anbieter haben "inspirieren" lassen, aber genau so etwas wie bei Qype damals haben sie auch umgesetzt.

vn2.jpg Wenn man auf der virtualnights-Website in eines der Fotoalben geht, verdunkelt sich die Seite und in den Vordergrund schiebt sich ein Hinweisfenster, das einem mitteilt, man müsse für diesen Bereich angemeldet sein und solle sich einloggen.

Klar, seit dem es das Javascript-Tool "Lightbox" gibt, findet man diese Art der Abdunklung auf vielen "hippen" Web 2.0 Websites. Eigentlich kann man sicher sein, wenn man solch eine Abdunklung irgendwo sieht, handelt es sich fast immer um Javascript.



Jetzt fragt man sich natürlich, was passiert, wenn man im Browser einfach Javascript abschaltet?

Zwei Mausklicks später kennt man die Antwort: Man kann die Seiten abrufen ohne sich anmelden zu müssen und kann sich auch durch alle Bilder, Profile und durch die Suche durchklicken.

Ich wiederhole mich zwar ungern, aber es muss jetzt leider sein:
Liebe Webprogrammierer, wenn Ihr Sicherheitschecks macht, macht diese bitte bitte immer Serverseitig. Vertraut keinem User-Input und vertraut keinen clientseitigen Sicherheitsprüfungen. Wenn Ihr Javascript Sicherheitsfeatures einbaut, dann bitte bitte nur als nette, komfortable und redundante Ergänzung zu den bereits implementierten serverseitigen Sicherheitsfunktionen.

So sehr ich das Trio HTML-CSS-Javascript, richtig genutzt, auch mag, aber "dank" Javascript werden in den nächsten Monaten und Jahren die Einbrüche in und Angriffe auf Websites und Client-PCs noch weiter drastisch steigen und das Web unsicherer machen.


Geschrieben von af in Ecommerce am: Freitag, 26. September 2008
Permalink

Tags: , , , ,

Diesen Beitrag bei folgenden Diensten bookmarken:
del.icio.us - Digg it - Mister Wong - Technorati - Ruhr.com Suchmaschine

Kommentare

Nächster Artikel: Verbraucherunfreundliche Verbraucherberatung

Vorheriger Artikel: DerWesten und Javascript: Immer noch nichts gelernt?