Seite 4: ActiveX

Inhaltsverzeichnis

ActiveX

Die Standard-Konfiguration des IEController ist restriktiv: Er unterbindet die Ausführung aller aktiven Inhalte. Die einzige Ausnahme bilden jene COM-Objekte, die der Browser für den "normalen Betrieb" benötigt. Dieser "normale Betrieb" ist eine Definition von uns. Die Liste der erlaubten Objekte ist bewusst knapp gefasst, um einen möglichst sicheren Betrieb zu erreichen. Zum Beispiel die Anzeige der Favoriten: Wenn sie nicht funktioniert, kann man mit dem Browser trotzdem gut arbeiten. Aber schon morgen könnte eine Sicherheitslücke in genau dem dafür zuständigen Objekt bekannt werden. Daher haben wir es nicht in die Liste aufgenommen. Wer die Favoriten nutzen möchte, muss sie in seine Whitelist aufnehmen. Das geht über die Experten-Konfiguration oder durch Import unserer Beispielfilterliste , die eine Ausnahmeregel für das entsprechende Objekt enthält.

Die Einstellungen des IEController sind unabhängig von denen des Internet Explorer. Dinge, die im Browser zugelassen sind, kann man in IEController verbieten, nicht aber umgekehrt! Wurde etwa ActiveScripting in den IE-Sicherheitsoptionen abgeschaltet, nützt es nichts, JScript und VBScript im IEController einzuschalten. Sind sie dort verboten, hat der Browser unabhängig von seinen eigenen Einstellungen keinen Zugriff darauf.

Über die Grundkonfiguration lassen sich acht Typen von Inhalten sperren oder erlauben. Die Punkte im Einzelnen:

Standard-Objekte für Internet Explorer: Hierunter fallen die erwähnten COM-Objekte, die der Browser bereits beim Start und für grundlegende Funktionen benötigt. Dieser Punkt funktioniert übrigens anders als die folgenden: Wenn Sie das Häkchen entfernen, wird die Ausführung der Objekte nicht verboten (dann würde genau nichts passieren, sprich: der Browser würde nicht starten), vielmehr fragt IEController bei jedem Objekt nach, ob er seinen Start zulassen soll. Dies ist ein recht interessanter Modus, wenn man das Verhalten des Browsers näher analysieren will, für den normalen Betrieb eignet er sich jedoch nicht.

JScript: Dies ist Microsofts Variante von JavaScript. Insgesamt gibt es drei DLLs, die JScript-Objekte enthalten. Die Funktionen sind so verteilt, dass eine selektiver Sperrung nicht möglich ist. Da IEController nicht den Inhalt von JScript-Skripten analysieren kann, bleibt einem hier nur die Wahl zwischen "an" und "aus", die sich am einfachsten über zwei entsprechende Konfigurationen realisieren lässt.

VBScript: Während Microsoft JScript und VBScript unter ActiveScripting zusammenfasst, unterscheidet IEController hier. VBScript wird im Web kaum verwendet, ist aber die Lieblingssprache von bösen Web-Programmierern. Man sollte es daher nach Möglichkeit ausgeschaltet lassen.

PNG: Hierüber wird die Anzeige von PNG-Grafiken erlaubt, für die der Internet Explorer spezielle Objekte lädt. Diese hatten bis einschließlich Version6 des Browsers einen Buffer-Overflow-Fehler enthalten. Solange dieses Format im Web nicht häufiger genutzt wird, kann man auch weiterhin auf Nummer Sicher gehen.

Java: Hier ist eine Unterscheidung zwischen "gut" und "böse" nicht möglich. Allerdings wird Java nicht ganz so oft auf Webseiten genutzt wie JavaScript. Man kann es also sperren und für Ausnahmen, etwa den Homebanking-Server der Hausbank, eine eigene Konfiguration mit "Java ein" erstellen.

Acrobat-Reader und Flash: Während ActiveX, abgesehen von den Standard-Objekten, verboten ist, kann man für diese beiden häufig genutzten Plug-ins eine Ausnahme machen. Dadurch werden PDF-Files und Flash-Animationen angezeigt, während etwa eine Dialer-Installation unterbleibt. Taucht dann etwa eine Sicherheitslücke in Flash auf, kann man dies mit einem Mausklick vorübergehend sperren, bis ein Patch oder Update verfügbar ist.

Drucken: Internet Explorer ruft beim Drucken etliche Objekte auf. Wer keine Webseiten druckt, erhält ein Plus an Sicherheit, wenn er diese nicht erlaubt.