JScript beim IE bzw.JavaScript beim Mozi

Dieses Thema im Forum "Browser" wurde erstellt von Knutig, 5. August 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Knutig

    Knutig Byte

    Registriert seit:
    25. Juni 2003
    Beiträge:
    66
    Nabend,
    alle Welt schimpft ja auf den IE, wegen seiner Sicherheitslücken, z.B. ActiveX und JScript. Der Mozilla schneidet immer als sehr sicher ab, weil er kein ActiveX kennt und auch kein JScript. Jetzt lese ich immer häufiger, dass es wohl ein Unterschied zwischen JScript vom IE und dem JavaScript von Mozilla geben soll, nur welcher ist das? Was macht den Mozilla denn nun wesentlich sicherer, in bezug auf das verwendete JavaScipt ? Kann mir das einer sagen? Oder ein link zum nachlesen wäre auch schön.

    Danke im voraus.
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    JScript ist die Microsoft-Implementierung von ECMA 262 Script. ECMA steht als Abkürzung für : European Computer Manufacturer.Diese Gruppe übernahmm die herstellerübergreifende Standardisierung dessen, was von Netscape seinerzeit als Javascript im Navigator (als "Subset" von Java ) implementiert wurde. JavaScript stimmt daher weitgehend mit der ECMA 262-Spezifikation überein.Grob gesagt, kann man die Kenntnisse über die Sprache JavaScript für JScript-Programme nutzen, da lediglich einige Netscape-spezifische Anweisungen sowie bestimmte Objekte und Methoden im WSH entfallen.JScript stellt dabei eine vollständige Implementierung der ECMA 262-Spezifikation dar, die lediglich durch einige Verbesserungen im Hinblick auf die Funktionen des Internet Explorers erweitert wurde.
    JScript-Programme besitzen im Gegensatz zu in HTML-Dokumenten eingebundenem Javascript-Code keinerlei HTML-Tags; vielmehr wird das komplette Script in der .js-Datei in der JSkript-Syntax hinterlegt.

    franzkat
     
  3. Knutig

    Knutig Byte

    Registriert seit:
    25. Juni 2003
    Beiträge:
    66
    @kalweit
    Jepp, voll auf den Punkt. Endlich mal was handfestes. Hab vielen Dank für die gute Erklärung.

    Gruss

    Knut
    [Diese Nachricht wurde von Knutig am 07.08.2003 | 07:31 geändert.]
     
  4. Knutig

    Knutig Byte

    Registriert seit:
    25. Juni 2003
    Beiträge:
    66
    <I> Das Ganze ist ein sehr komplexes Thema, das ich eigentlich nur in groben Zügen verstehe.</I>

    Geht mir genauso, wenn nicht noch schlimmer.Danke für die Links.

    Gruss

    Knut
     
  5. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.471
    Mit jScript ist es thoretisch möglich auf das ausführende System zuzugreifen. Der Grund liegt in der gemeinsamen Engine mit dem Windows Scripting Host, welcher ja sehr mächtig ist und uneingeschränkten Systemzugriff erlaubt. Der IE nacht nun bei einem jScript nichts anderes, als zu entscheiden ob es böse ist (Systemzugriff anfordert) oder nicht. Natürlich kommt es dabei zu Fehlern, was sich dann in Sicherheitslücken äußert. Deswegen bekommt man beim IE bei vielen Sicherheitslücken nur den lapidaren Hinweis jScript zu deaktivieren.

    Andere Browser haben eine JavaScript-Engine, die nur unschädliche Befehle enthält, da diese Engine keine Aufgaben außerhalb des Browsers erfüllen muss. Deswegen sind Sicherheitslücken in diesen eher der Art, dass Webseitenbetreiber den Referer oder ein Cookie auslesen, aber letztlich keine kritischen Aktionen auf dem System ausführen können, da einfach keine Verbindung zum System besteht.

    Gruss, Matthias
     
  6. phaidos

    phaidos Kbyte

    Registriert seit:
    7. Januar 2003
    Beiträge:
    360
    Moin,
    Das Problem sind die ActivX-Controls in Verbindung mit VBScript und aktiviertem Scripting Host (WSH). Du als Surfer hast (praktisch fast) keine Kontrolle, was alles vor sich geht.

    Du musst dir den MSIE als Bühne vorstellen - alles was dort geschieht, wird von DLLs und OCXen gesteuert - der MSIE zeigt eben nur an.

    Hast du die Artikel über ECMA 262 und das DOM(+) - Modell gelesen?

    Hier noich einige weiterführende Links:

    http://www.bsi.bund.de/fachthem/sinet/index.htm
    http://www.cybercredo.de/baum_windows/active_x.htm
    http://ivs.cs.uni-magdeburg.de/~dumke/ProSem/Seitschek.htm

    Das Ganze ist ein sehr komplexes Thema, das ich eigentlich nur in groben Zügen verstehe.

    Gruß, Franz

    Hinzufügung:
    Schau auch \'mal hier vorbei.
    http://www.heise.de/security/dienste/browsercheck/

    [Diese Nachricht wurde von phaidos am 06.08.2003 | 13:48 geändert.]
     
  7. Knutig

    Knutig Byte

    Registriert seit:
    25. Juni 2003
    Beiträge:
    66
    Hallo,
    Danke für die Antwort.

    <I>Die "Unsicherheit" resultiert aus der (IMHO zu)engen Verzahnung des MSIE mit dem Betriessystem. Deshalb verwende ich den MSIE nur netzintern und nicht zum Surfen im WWW.</I>

    Und genau darum gehts es mir.So oder so änlich argumentieren viele. Was kann einem denn nun passieren, wenn man den IE, mit aktiviertem JScript benutzt ? Und weshalb könnte einem dieses nicht mit dem Mozilla und aktiviertem JavaScript passieren?
    (von ActiveX mal abgesehen)

    Mich interissiert ausschließlich die sicherheitsrelevanten Aspekte, z.B. ist es unter Jscript leichter schädlichen Code auszuführen, als es bei JavaScript der Fall ist,oder änliches?

    Thx
     
  8. phaidos

    phaidos Kbyte

    Registriert seit:
    7. Januar 2003
    Beiträge:
    360
    Moin,

    &gt; alle Welt schimpft ja auf den IE
    Wenn man bedenkt, wieviele Menschen ein Microsoft-Betriebssystem und den Internet-Explorer benutzen, schimpft eigentlich so gut wie niemand darauf.

    JScript bietet in Verbindung mit dem MSIE und ActivX eine Menge an Möglichkeiten, die die anderen Browser nicht bieten können, da sie kein JScript unterstützen.

    Die "Unsicherheit" resultiert aus der (IMHO zu)engen Verzahnung des MSIE mit dem Betriessystem. Deshalb verwende ich den MSIE nur netzintern und nicht zum Surfen im WWW.

    &gt; Unterschied zwischen JScript vom IE und dem JavaScript von
    &gt; Mozilla geben soll, nur welcher ist das?

    Folgender Link ist als Einstieg gedacht. Von dort aus wird auf viele weiterführende Seiten von Microsoft und Netscape etc. verlinkt.

    http://selfforum.teamone.de/archiv/2003/3/39733/

    Viele Grüße, Franz
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen