Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sicherheit in vernetzten Systemen - RRZ Universität Hamburg
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
KAPITEL 9. „ACTIVE CONTENT“ UND MOBILER CODE<br />
Darüber h<strong>in</strong>aus kennt der Browser das Konzept unterschiedlicher <strong>Sicherheit</strong>szonen. Dabei erfolgt die<br />
E<strong>in</strong>teilung der Rechner anhand ihrer Adresse und des verwendeten Protokolls <strong>in</strong>:<br />
Arbeitsplatz Nur der lokale Rechner ist Mitglied dieser Zone. Sie ist im Internet Explorer nicht<br />
konfigurierbar. Dazu s<strong>in</strong>d spezielle Adm<strong>in</strong>istrationsprogramme erforderlich, welche auch neue<br />
Zonen e<strong>in</strong>richten können.<br />
lokale Intranetzone Diese Zone ist so vore<strong>in</strong>gestellt, daß all diejenigen Rechner <strong>in</strong> ihr Mitglied s<strong>in</strong>d,<br />
¯ deren URL ke<strong>in</strong>e Punkte enthält (z.B. http://rechner/), und die ke<strong>in</strong>er anderen Zone<br />
zugeordnet s<strong>in</strong>d,<br />
¯ die nicht über e<strong>in</strong>en Proxyserver zugegriffen werden, oder<br />
¯ auf die über das Common Internet Filesystem (CIFS, auch bekannt als NetBIOS) zugegriffen<br />
wird (z.B. \\rechner\freigabe\datei.txt).<br />
Internetzone Diese Zone enthält alle Rechner, die ke<strong>in</strong>er anderen Zone zugeordnet s<strong>in</strong>d.<br />
Zone für vertrauenswürdige Sites In diese Zone werden Rechner nicht automatisch e<strong>in</strong>getragen.<br />
Es können aber manuell Rechner e<strong>in</strong>getragen werden, für die weniger restriktive E<strong>in</strong>stellungen<br />
gelten sollen, als dies für Rechner der Internetzone der Fall wäre.<br />
Zone für e<strong>in</strong>geschränkte Sites Diese Zone stellt das Gegenteil der „Zone für vertrauenswürdige Sites“<br />
dar. Sie ist bestimmt für Rechner, deren Inhalte mit größeren Restriktionen ausgeführt<br />
werden müssen, als Inhalte von Rechnern der Internetzone. Auch <strong>in</strong> sie werden Rechner nicht<br />
automatisch e<strong>in</strong>getragen.<br />
Obwohl die E<strong>in</strong>ordnung pr<strong>in</strong>zipiell automatisch abläuft, so kann der Benutzer auch e<strong>in</strong>zelne Rechner<br />
gezielt <strong>in</strong> bestimmte Zonen e<strong>in</strong>ordnen. Dabei ist allerd<strong>in</strong>gs zu beachten, daß es pr<strong>in</strong>zipiell möglich<br />
ist, Rechner sowohl unter ihrem logischen Namen als auch unter ihrer IP-Adresse e<strong>in</strong>zutragen. Erfolgen<br />
diese E<strong>in</strong>träge <strong>in</strong> verschiedene Zonen, so wird der jeweilige Rechner unterschiedlich behandelt,<br />
je nachdem, ob er über se<strong>in</strong>e IP-Adresse oder mit se<strong>in</strong>em logischen Namen angesprochen wird<br />
(vgl. [Microsoft 99b]).<br />
Für jede Zone können nun die <strong>Sicherheit</strong>se<strong>in</strong>stellungen getrennt getroffen werden, womit es pr<strong>in</strong>zipiell<br />
möglich ist, das System recht gut auf se<strong>in</strong>e eigenen Bedürfnisse zu konfigurieren. So wäre es<br />
z.B. denkbar, den Download von Applets von dem Rechner zu erlauben, auf dem man Homebank<strong>in</strong>g<br />
betreibt, von allen anderen aber den Download streng zu untersagen.<br />
Allerd<strong>in</strong>gs gibt es doch e<strong>in</strong>ige Probleme, die diese Vorteile wieder <strong>in</strong> Frage stellen. So s<strong>in</strong>d die Vore<strong>in</strong>stellungen<br />
des Browsers alles andere als sicher. Auch die Möglichkeit, das Schutzbedürfnis statt <strong>in</strong><br />
vielen E<strong>in</strong>zele<strong>in</strong>stellungen <strong>in</strong> „Hoch“, „Mittel“, „Niedrig“ und „Sehr niedrig“ zu spezifizieren, wird<br />
dadurch zur Falle für den arglosen Benutzer, daß die Ausführung von Applets und Skripten auch <strong>in</strong><br />
der E<strong>in</strong>stellung „Hoch“ aktiviert ist (vgl. [Microsoft 99b]).<br />
Der e<strong>in</strong>zige Weg zu wirklich sicheren E<strong>in</strong>stellungen besteht somit dar<strong>in</strong>, alle E<strong>in</strong>stellungen von Hand<br />
auf die gewünschten Werte zu setzen. Auch f<strong>in</strong>den sich nicht alle relevanten E<strong>in</strong>stellungen unter<br />
„AnsichtInternetoptionen<strong>Sicherheit</strong>“, auch unter „Erweitert“ s<strong>in</strong>d u.a. mit „Zählen der übertragenen<br />
Seiten aktivieren“, „Auf zurückgezogene Serverzertifikate prüfen“, „Auf zurückgezogene Zertifikate<br />
von Herausgebern prüfen“, „Bei ungültigen Site-Zertifikaten warnen“ E<strong>in</strong>stellungen zu f<strong>in</strong>den,<br />
die e<strong>in</strong> sicherheitsbewußter Benutzer besser überprüfen sollte.<br />
134 SS 99, Sem<strong>in</strong>ar 18.416: <strong>Sicherheit</strong> <strong>in</strong> <strong>vernetzten</strong> <strong>Systemen</strong>