Aufruf sicherer ActiveX-Controls :
Aufruf unsicherer ActiveX-Controls:
Logisch, dass es mittlerweile in fast allen Microsoft-Programmen integriert ist. ActiveX sorgt dafür, dass Windows-Anwendungen mit dem Internet scheinbar besser zusammenarbeiten. Andere Betriebssysteme sind davon weitgehend ausgeschlossen. Und weil ActiveX sozusagen immer ein Heimspiel hat - denn es wird ja auf einem Windows-System ausgeführt - kann es mit speziellen Funktionen glänzen, die z.B. bei Java-Applets oder mit JavaScript nicht so einfach möglich sind.
Microsofts ActiveX-Technologie ist im Bereich Web-Browser am ehesten mit den Plug-Ins des Netscape Navigators zu vergleichen. Das Steuerelement spielt dabei im Internet-Explorer beispielsweise Multimedia-Dateien ab, die der Web-Server bereitstellt. Ist das entsprechende ActiveX-Control bereits auf dem Rechner installiert, wird es von Windows gestartet und mit den Daten gefüttert. Andernfalls kann der Browser das Control auch automatisch aus dem Internet laden. Internetseiten können so mit ActiveX um eine Vielzahl von multimedialen Effekten, unterschiedlichen Layouts und ausführbaren Applikationen, die über das Internet geladen werden, erweitert werden.
Die Technologie besteht aus den Elementen: ActiveX-Controls, Active Documents und Active Scripting:
Des weiteren gibt es die Möglichkeit, via JavaScript resp. JScript oder VBScript (meist lokal installierte) ActiveX-Controls zu aktivieren und zu steuern (wie es auch oben der Test demonstriert).
Die Sicherheitseinstellungen unterscheiden zwischen Controls "die sicher für Scripting sind" und solchen ohne diese Klassifizierung. Die Einstufung "Safe for Scripting" nimmt der Hersteller vor, wenn er der Überzeugung ist, dass das Control keinen Schaden anrichten kann.
Es gibt allerdings bereits mehrere Beispiele, wo sich im Nachhinein herausgestellt hat, dass diese Einschätzung falsch war. Microsofts Office 2000 enthält das als sicher markierte UA-Control, mit dem sich Office-Anwendungen für Präsentationen fernsteuern lassen. Damit kann man beispielsweise beliebige Dateien auf dem Rechner des Surfers anlegen. Der Internet Explorer enthält das als sicher markierte Control DHTMLED, das lokale Dateien auslesen und auf andere Rechner übertragen kann.
ActiveX-Controls dienen häufig dazu, den Funktionsumfang des Internet Explorer zu erweitern. Realaudio- oder Quicktime-Player können so ihre Multimedia-Dateien direkt im IE-Fenster abspielen. Ausserdem bieten Firmen Serviceleistungen wie Online-Virusscans über ActiveX-Controls an. Die Missbrauchsmöglickeiten sind jedoch gewaltig. Benutzer, die Wert auf Sicherheit legen, sollten deshalb alle Optionen mit ActiveX deaktivieren oder zumindest auf "Eingabeaufforderung" stellen.
Der Internet Explorer kann ebenfalls als ActiveX-Control zum Einsatz kommen. So nutzt beispielsweise Outlook Express das IE-Control zur Anzeige von HTML-Mails. Hierfür kommen ebenfalls die Einstellungen der in Outlook Express ausgewählten Sicherheitszone des IE zur Anwendung.
Der Knackpunkt von ActiveX ist also, dass es keine richtigen Sicherheitsrichtlinien gibt!
Signierte ActiveX-Steuerelemente, versprechen nur einen Hauch von Sicherheit.
Läuft das ActiveX-Programm erst einmal, dann ist sein Funktionsumfang in keiner Weise eingeschränkt oder kontrollierbar. Das ActiveX-Programm läuft mit allen Rechten des angemeldeten Benutzers - ohne jede Einschränkung! Es ist demnach ein leichtes, private oder sicherheitsrelevante Daten auszulesen, zu löschen, zu manipulieren, den Rechner umzukonfigurieren, einen Virus oder ein Trojanisches Pferd zu installieren.
Hier kann gleich mal getestet werden, ob sich bereits irgendwelche Parasiten im
Internet Explorer eingenistet haben: ActiveX Parasiten Check
ACHTUNG! Aus Sicherheitsgründen empfehlen wir für ALLE
ActiveX-Einstellungen:
Deaktivieren oder zumindest Eingabeaufforderung.