192065

Active-X: Seien Sie vorsichtig

03.04.2003 | 13:14 Uhr |

Microsoft bezeichnet die Zertifizierung von Active-X-Controls als "Authenticode" - das ist der Versuch, einer potenziell gefährlichen Technik ein sicheres Image zu verleihen. Selbst das Bundesamt für Sicherheit in der Informationstechnik ( www.bsi.de ) rät Website-Anbietern davon ab, Active-X im Internet einzusetzen.

Active-X-Controls werden wie Java-Applets von Scripts gesteuert. Zu diesem Zweck können die Controls von ihrem Hersteller als "Sicher für Scripting" markiert werden. Eine hundertprozentige Sicherheit gibt es dabei natürlich nicht, da Programmierfehler von Seiten der Hersteller nie ganz auszuschließen sind.

Controls, die nicht als sicher für das Scripting markiert sind, sollten Sie ebenso wenig installieren wie unsignierte Controls. Das Verhalten des Internet Explorers bei Active-X-Controls lässt sich im Abschnitt "AktiveX-Steuerelemente und Plugins" ändern. Dort stellen Sie ein, ob Active-X-Steuerelemente geladen, initialisiert und ausgeführt werden sollen oder nicht.

Es gibt die drei Einstellungen "Aktivieren", "Deaktivieren" und "Eingabeaufforderung". Bei Letztgenannter fragt der Browser nach, was geschehen soll. Ein bewährter Schutzmechanismus: Active-X-Controls müssen wie Java-Applets erst aus dem Internet geladen werden. Die Einstellung "Download signierter ActiveX-Controls" sollte deshalb auf "Eingabeaufforderung" gestellt sein. Der Browser zeigt dann eine entsprechende Meldung an, und man kann sich im Einzelfall für die Installation entscheiden. Beim Laden von Controls unterscheidet der Internet Explorer zwischen signierten und nicht signierten Controls. Ist das Laden signierter Active-X-Controls abgeschaltet, wird das Element nicht geladen. Ist das Laden "Aktiviert", wird das Control ohne Rückfrage geladen und eingespielt. Controls mit zurückgezogenem oder abgelaufenem Zertifikat sind ungültig, daher muss das Laden bestätigt werden.

Ist "Eingabeaufforderung" eingeschaltet, werden alle Controls vertrauenswürdiger Hersteller ohne Nachfrage geladen, bei nicht vertrauenswürdigen Controls fragt der Internet Explorer, ob sie geladen werden sollen. Der Eintrag "ActiveX-Steuerelemente ausführen, die für Scripting sicher sind" bestimmt, ob ein Script das Control steuern darf. Diese Option ist in allen Sicherheitsstufen aktiviert. Ist unter "ActiveX-Steuerelemente initialisieren und ausführen, die nicht sicher sind" die Stufe "Sehr niedrig" eingestellt, erhalten Sie eine Rückfrage, sonst sind nicht signierte Controls überall deaktiviert.

Ein Hinweis: Nicht signierte Controls sollten nur in gesicherten Umgebungen wie einem LAN eingesetzt werden. Die Option "ActiveX-Steuerelemente und Plugins ausführen" ist immer aktiviert außer in der hohen Sicherheitsstufe. Bewegen Sie sich in einer bestimmten Zone und wird ein Steuerelement aus einer anderen Zone geladen, gelten die restriktiveren Einstellungen.

PC-WELT Marktplatz

192065