Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
KAPITEL 9. „ACTIVE CONTENT“ UND MOBILER CODE<br />
autonom durch das Control. Das Rahmenprogramm ist lediglich dafür verantwortlich, vom Benutzer<br />
angewählte Menüpunkte <strong>in</strong> Steuerbefehle für das Control umzusetzen, sowie den e<strong>in</strong>gegebenen Text<br />
bei Bedarf auszulesen und <strong>in</strong> e<strong>in</strong>er Datei zu speichern, bzw. bei Bedarf aus e<strong>in</strong>er Datei neu e<strong>in</strong>zulesen.<br />
Technisch werden solche Objekte <strong>in</strong> der Regel als spezielle dynamische Bibliotheken (DLLs 7 ) realisiert,<br />
die bei Bedarf über Systemfunktionen angesprochen werden können. Sie werden dabei über<br />
CLSIDs 8 genannte Bezeichner referenziert. Dabei handelt es sich um 128-Bit-Zahlen, die auf e<strong>in</strong>e<br />
Weise generiert werden können, die sicherstellen soll, daß die generierte CLSID weltweit e<strong>in</strong>deutig<br />
ist. 9<br />
Controls können auch ähnlich wie Applets von Webseiten gestartet werden. 10 Diesen Vorgang bezeichnet<br />
Microsoft als „Script<strong>in</strong>g“. Dazu müssen nur die CLSID sowie u.U. e<strong>in</strong>e URL angegeben<br />
werden, von der das Control heruntergeladen werden kann.<br />
Letzteres ist nicht nötig, wenn es schon lokal <strong>in</strong>stalliert ist. Dies kann <strong>in</strong>sbesondere dann der Fall<br />
se<strong>in</strong>, wenn es Teil e<strong>in</strong>es Software-Paketes ist. Neben der Benutzung <strong>in</strong> Webseiten ist COM auch e<strong>in</strong>e<br />
Technologie, die es erlaubt, Anwendungen <strong>in</strong> Komponenten aufzuspalten, die bei Bedarf beliebig<br />
neu komb<strong>in</strong>iert werden können. Als Folge davon s<strong>in</strong>d <strong>in</strong> e<strong>in</strong>em W<strong>in</strong>dows-System <strong>in</strong> der Regel die<br />
unterschiedlichsten Controls vorhanden, die <strong>in</strong> ihrer Funktion von der Darstellung von Tabellen über<br />
das Betreiben e<strong>in</strong>es Telnet-Servers bis zur Formatierung der lokalen Festplatte reichen.<br />
Um dennoch e<strong>in</strong>e Kontrolle darüber zu haben, welche lokal <strong>in</strong>stallierten Controls von Webseiten aufgerufen<br />
werden können, dürfen normalerweise nur solche Controls von Webseiten aufgerufen werden,<br />
die von ihrem Programmierer als „sicher für Script<strong>in</strong>g“ markiert wurden. 11<br />
Im Gegensatz zu Applets existiert ke<strong>in</strong> Mechanismus, um die Ausführung e<strong>in</strong>es Controls zu überwachen.<br />
E<strong>in</strong>mal aufgerufen verhält sich e<strong>in</strong> Control wie e<strong>in</strong> lokales Programm. Es ist daher möglich, alle<br />
Funktionalitäten als Control zu programmieren, die auch <strong>in</strong> e<strong>in</strong>em normalen Programm realisierbar<br />
wären (Festplatte löschen, Tastature<strong>in</strong>gaben mitlesen, Daten ausspionieren, Netzwerkverb<strong>in</strong>dungen<br />
öffnen,...).<br />
Die e<strong>in</strong>zige Kontrollmöglichkeit besteht <strong>in</strong> der Entscheidung, ob e<strong>in</strong> Control geladen und ausgeführt<br />
werden soll. Soll e<strong>in</strong> Control aus dem Internet mit dem Internet Explorer 5 mit Standarde<strong>in</strong>stellungen<br />
heruntergeladen und ausgeführt werden, so geschieht dies nur, wenn es signiert ist, der Benutzer<br />
zugestimmt hat und das Control von se<strong>in</strong>em Autor als „sicher für Script<strong>in</strong>g“ markiert wurde. Die<br />
Frage, wann e<strong>in</strong>e Signatur gültig ist, soll dabei erst e<strong>in</strong>mal zurückgestellt werden.<br />
Netscape-Plug-Ins<br />
Plug-Ins wurden ursprünglich für Bildbearbeitungsprogramme entwickelt. Hierbei handelt es sich um<br />
dynamisch nachladbare Komponenten (unter W<strong>in</strong>dows meist DLLs), die es erlauben, die Fähigkeiten<br />
e<strong>in</strong>es Programmes nachträglich zu erweitern. Auch der Netscape Navigator kennt Plug-Ins, die es ihm<br />
ermöglichen, neue Dateitypen darzustellen.<br />
7 Die Abkürzung steht für Dynamic L<strong>in</strong>k Library.<br />
8 Die Abkürzung steht für CLasS IDentification. Tatsächlich stellt COM auch den Versuch dar, e<strong>in</strong> Programmiersprachen<br />
übergreifendes B<strong>in</strong>ärformat für objektorientierte dynamische Bibliotheken zu schaffen.<br />
9 Dazu wird auf die MAC-Adresse e<strong>in</strong>er e<strong>in</strong>gebauten Ethernet-Karte zurückgegriffen. Existiert im Rechner ke<strong>in</strong>e<br />
Ethernet-Karte, so wird e<strong>in</strong> Pseudozufallszahlengenerator benutzt, dessen Ausgabe zum<strong>in</strong>dest mit großer Warsche<strong>in</strong>lichkeit<br />
e<strong>in</strong>e CLSID generiert, die bisher noch nicht benutzt wird.<br />
10 Tatsächlich bezeichnet der Internet Explorer <strong>in</strong> se<strong>in</strong>en Warnmeldungen jegliche aktiven Inhalte <strong>in</strong> Webseiten als Active-<br />
X-Steuerelemente.<br />
11 Dies ist <strong>in</strong> den E<strong>in</strong>stellungen des Internet Explorers konfigurierbar.<br />
130 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>