Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Stefan Reuther <stefan.news@arcor.de>
Newsgroups: de.alt.folklore.computer
Subject: Re: unix5 auf PiDP11
Date: Thu, 12 Mar 2020 18:53:34 +0100
Lines: 39
Message-ID: <r4e0ff.3vs.1@stefan.msgid.phost.de>
References: <hahnp9F2erfU1@mid.individual.net> <r28f04$fif$1@news.albasani.net> <hc6f0tF5as9U1@mid.individual.net> <r3umqq$59r$1@akk3-dmz.akk.uni-karlsruhe.de> <r3vij6$rph$1@news.bawue.net> <8l7cjg-rqt.ln1@criseis.ruhr.de> <hchej1Fer7oU1@mid.individual.net> <r401qi$etn$1@akk3-dmz.akk.uni-karlsruhe.de> <m1jcjg-2kb.ln1@criseis.ruhr.de> <r40dl1$8qi$1@news.bawue.net> <hcml8hFh5v7U7@mid.individual.net> <r45rfn$jf7$1@news.bawue.net> <hcqvrmFf612U2@mid.individual.net> <hcrvqvFlflmU1@mid.individual.net> <hcti7kF15t3U5@mid.individual.net> <r4choo$ek9$1@news.bawue.net>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-15
Content-Transfer-Encoding: 8bit
X-Trace: individual.net 3/pbN/45cK4kmq4ssKxlKQEi5gs+FLJjzqjO95YhrcfLsJXprT
Cancel-Lock: sha1:VdPxwCUa+OKJ51PIjxXFpgp1IT0=
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101 Thunderbird/60.9.1 Hamster/2.1.0.1538
In-Reply-To: <r4choo$ek9$1@news.bawue.net>
Xref: csiph.com de.alt.folklore.computer:27467

Am 12.03.2020 um 06:36 schrieb Gerrit Heitsch:
> On 3/12/20 2:40 AM, Arno Welzel wrote:
>> Hanno Foest:
>>> Am 11.03.20 um 03:14 schrieb Arno Welzel:
>>>> Wozu überhaupt etwas anderes als statisches HTML? Hat doch auch schon
>>>> ausgereicht für Websites.
>>>
>>> Hat halt Nebenwirkungen. Der volkswirtschaftliche Schaden durch die
>>> durch JS entstandenen Sicherheitsprobleme dürfte in die Billionen
>>> (10^12) gehen.
>>
>> Das gilt vermutlich für fast jede Technik der letzten 20 Jahre.
> 
> Einige der Erpressungstrojaner bzw. deren Installer kommen als
> Javascript per Email. Gäbe auf dem System selbst keinen JS-Interpreter
> sondern nur den im Browser würde das nicht funktionieren.

Es mag dich überraschen, aber (a) Mail findet heutzutage zu einem großen
Teil im Browser statt und (b) ein Mail-Client, der nicht weiß, was
JavaScript ist, startet zum Öffnen ein Programm, was das weiß, und das
ist - Überraschung - der Browser (oder unter Windows der Scripting Host).

JavaScript ist da wirklich nicht _konzeptuell_ schlimmer als andere
Sprachen. Ich hab mehr als einmal geflucht als das Mailprogramm ein
Perl-Script aus dem Anhang einfach gestartet hat, weil es mir nicht die
Wahl zwischen "Ausführen" und "Anzeigen" gibt.

Für JavaScript macht man sich wenigstens Gedanken über
Sicherheits-Partitionierung (dass also JavaScripts verschiedener
Browsertabs nicht einander beeinflussen dürfen, oder dass Seitenkanäle
geschlossen werden).

Wenn's um Sicherheitslücken in fehlerhaften Implementierungen geht: ob
die wurmbare Sicherheitslücke in einem fehlerhaften JS-Parser ist oder
in einem fehlerhaften JPEG-Parser ist fürs Endergebnis auch egal. Und
das JPEG würde jeder Mailclient anzeigen, weil er es für harmlos hält.


  Stefan